 |
icc hofmann - Ingenieurbüro für technische Informatik Am Stockborn 16, 60439 Frankfurt/M, FRG Tel.: +49 6082-910101 Fax.: +49 6082-910200 E-Mail: info@icc-hofmann.net |
|
(1) Searching for "2019081113575776031" in Archived Documents Library (TED-ADL)
Ausschreibung: Kartenzahlungsgeräte für die ÄDBV - DE-München Magnetkartenleser Datendienste Dokument Nr...: 873168-2019 (ID: 2019081113575776031) Veröffentlicht: 13.08.2019 * Kartenzahlungsgeräte für die ÄDBV VERGABEUNTERLAGEN 2019MRE000003 Kartenzahlungsgeräte für die ÄDBV Öffentliche Ausschreibung (UVgO) Ausschreibung AUFTRAGGEBER Freistaat Bayern vertreten durch das Bayerische Landesamt für Steuern - Zentrale Vergabestelle Sophienstr. 6, 80333 München, Deutschland 05.08.2019 Inhaltsverzeichnis Vergabeunterlagen............................................................................................................... ............................................ 1 Projektinformation ................................................................................................................................ .................... 1 Vergabeunterlagen............................................................................................................... .................................... 2 Angebotsaufforderung............................................................................................................ .......................... 2 Bewerbungsbedingungen UVgO...................................................................................................................... 3 1. Gegenstand der Auftragsvergabe ........................................................................................................ 3 2. Angebotsabgabe ................................................................................................................................ .. 3 2.1. Fristen ................................................................................................................................ ............... 3 2.2. Form des Angebots ........................................................................................................................... 4 2.2.1. Einfache Textform........................................................................................................................ .. 4 2.2.2. Elektronische Signatur ................................................................................................................... 4 2.3. Weitere Festlegungen zur Angebotsabgabe..................................................................................... 4 2.4. Bietergemeinschaften, Unterauftragnehmer und verbundene Unternehmen.................................... 7 2.4.1. Bietergemeinschaften............................................................................................................ ......... 7 2.4.2. Unterauftragnehmer ....................................................................................................................... 8 2.4.3. Verbundene Unternehmen............................................................................................................. 9 2.5. Wettbewerbsbeschränkende Verhaltensweisen ............................................................................... 9 3. Hinweise zu Prüfung und Wertung von Angeboten.............................................................................. 9 4. Bevorzugte Bieter.......................................................................................................................... ....... 10 5. Abschluss des Vergabeverfahrens....................................................................................................... 10 6. Kommunikation im Vergabeverfahren.................................................................................................. 10 Eigenerklärung ................................................................................................................................ ................. 11 Scientology-Schutzerklärung.................................................................................................... ........................ 13 1. Erklärung zum Vergabeverfahren ........................................................................................................ 13 2. Erklärung für den Fall der Zuschlagserteilung...................................................................................... 13 3. Hinweis nach Art. 16 Abs. 3 des Bayerischen Datenschutzgesetzes: ................................................. 13 Struktur Bieter ................................................................................................................................ .................. 15 1. Die Teilnahme am Verfahren erfolgt als:.............................................................................................. 15 2. Folgende Unternehmen sind Mitglieder der Bietergemeinschaft: ........................................................ 15 3. Bevollmächtigter Vertreter:................................................................................................................... 16 4. Weitere Angaben zu verbundenen Unternehmen oder Unterauftragnehmern:.................................... 16 Gewerbezentralregister ................................................................................................................................ .... 17 1. Name des Unternehmens .................................................................................................................... 17 2. Unternehmensform................................................................................................................ ............... 17 3. Juristische Personen/Personenvereinigungen..................................................................................... 17 4. Natürliche Person / GbR ...................................................................................................................... 18 EVB-IT Systemvertrag................................................................................................................... ................... 19 1 Gegenstand, Vergütung und Bestandteile des Vertrages ..................................................................... 22 1.1 Vertragsgegenstand.............................................................................................................. ..... 22 i 1.2 Vergütung...................................................................................................................... ............. 23 1.3 Vertragsbestandteile* ................................................................................................................. 23 1.3.1 dieser Vertragstext bestehend aus den Seiten 1 bis 39 und den folgenden Anlagen:.... 23 2 Übersicht über die vereinbarten Leistungen.......................................................................................... 24 2.1 Leistungen bis zur Abnahme...................................................................................................... 24 2.2 Leistungen nach der Abnahme .................................................................................................. 24 2.3 Vorgehensmodell ....................................................................................................................... 25 3 Systemumgebung* des Gesamtsystems und beizustellende Systemkomponenten* ........................... 25 4 Leistungen des Auftragnehmers zur Erstellung des Gesamtsystems................................................... 25 4.1 Verkauf von Hardware................................................................................................................ 25 4.2 Vermietung von Hardware.......................................................................................................... 25 4.3 Überlassung von Standardsoftware* gegen Einmalvergütung auf Dauer (Verkauf) entfällt .. 27 4.3.1 Leistungsumfang und Vergütung .................................................................................... 27 4.3.2 Mitteilung über Anpassungen der Standardsoftware* auf Quellcodeebene.................... 28 4.3.3 Abweichende Lizenzbedingungen................................................................................... 28 4.3.4 Bereitstellung der Standardsoftware*.............................................................................. 28 4.4 Überlassung von Standardsoftware* auf Zeit (Vermietung) ....................................................... 29 4.4.1 Leistungsumfang und Vergütung .................................................................................... 29 4.4.2 Mitteilung über Anpassungen der Standardsoftware* auf Quellcodeebene.................... 30 4.4.3 Abweichende Lizenzbedingungen................................................................................... 30 4.4.4 Bereitstellung der Standardsoftware*.............................................................................. 30 4.5 Erstellung und Überlassung von Individualsoftware* auf Dauer ................................................ 31 4.6 Übernahme von Altdaten und andere Migrationsleistungen ...................................................... 31 4.7 Erstellung des Gesamtsystems und Herbeiführung der Betriebsbereitschaft*........................... 31 4.7.1 Leistungsumfang............................................................................................................. 31 4.7.2 Abweichende Nutzungsrechtsvereinbarungen................................................................ 31 4.7.3 Vergütung...................................................................................................................... .. 31 4.8 Schulung ................................................................................................................................ .... 31 4.9 Dokumentation ........................................................................................................................... 31 4.10 Sonstige Leistungen zur Systemerstellung .............................................................................. 32 4.10.1 Leistungsumfang........................................................................................................... 32 4.10.2 Vergütung...................................................................................................................... 32 5 Systemservice................................................................................................................... .................... 32 5.1 Arten von Systemserviceleistungen ........................................................................................... 32 5.1.1 Wiederherstellung der Betriebsbereitschaft* des Gesamtsystems (Störungsbeseitigun 32 5.1.1.1 Störungsmeldung ................................................................................................. 33 5.1.1.1.1 Form der Störungsmeldung....................................................................... 33 5.1.1.1.2 Adresse für Störungsmeldungen............................................................... 33 5.1.1.2 Reaktions-* und Wiederherstellungszeiten*,Mängelklassen ................................ 33 5.1.1.3 Servicezeiten........................................................................................................ 34 5.1.1.4 Hotline .................................................................................................................. 34 5.1.2 Aufrechterhaltung der Betriebsbereitschaft* (vorbeugende Maßnahmen) ...................... 34 ii 5.1.3 Überlassung von verfügbaren Programmständen* (Standardsoftware*) ........................ 34 5.2 Beginn / Dauer der Systemserviceleistungen ............................................................................ 35 5.3 Kündigung von Systemserviceleistungen................................................................................... 35 5.4 Vergütung/Zahlungsfristen für Systemserviceleistungen ........................................................... 36 5.4.1 Vergütung...................................................................................................................... .. 36 5.4.2 Zahlungsfristen für Systemserviceleistungen.................................................................. 36 5.5 Sonstige Regelungen zu Systemserviceleistungen ................................................................... 36 5.5.1 Teleservice*.................................................................................................................... . 36 5.5.2 Abnahme der Systemserviceleistungen .......................................................................... 36 5.5.3 Dokumentation der Systemserviceleistungen ................................................................. 36 6 Weitere Leistungen nach der Abnahme................................................................................................ 36 6.1 Weiterentwicklung und Anpassung des Gesamtsystems nach der Abnahme ........................... 36 6.2 Sonstige Leistungen nach der Abnahme ................................................................................... 37 6.2.1 Leistungsumfang............................................................................................................. 37 6.2.2 Vergütung...................................................................................................................... .. 37 7 Ergänzende Vereinbarungen bei Vergütung nach Aufwand entfällt ................................................. 37 7.1 Vereinbarung der Preiskategorien bei Vergütung nach Aufwand .............................................. 37 7.2 Zeiten der Leistungserbringung bei Vergütung nach Aufwand .................................................. 37 7.2.1 Während der Geschäftszeiten an Werktagen (außer an Samstagen und Feiertagen a . 37 7.2.2 Außerhalb der Geschäftszeiten an Werktagen (außer an Samstagen und Feiertagen . 38 7.2.3 Während sonstiger Zeiten ............................................................................................... 38 7.3 Abweichende Regelungen für die Bestimmung und Vergütung von Personentagessätzen ...... 38 7.4 Reisekosten, Nebenkosten*, Materialkosten und Reisezeiten................................................... 38 7.4.1 Reisekosten, Nebenkosten* und Materialkosten............................................................. 38 7.4.2 Reisezeiten..................................................................................................................... . 39 7.5 Besondere Bestimmungen zur Vergütung nach Aufwand.......................................................... 39 7.6 Preisanpassung für Systemserviceleistungen, die nicht im Pauschalfestpreis* enthalten sind . 39 8 Termin- und Leistungsplan................................................................................................................... . 39 9 Zahlungsplan.................................................................................................................... .................... 40 10 Projektmanagement ............................................................................................................................ 41 10.1 Ansprechpartner................................................................................................................. ...... 41 des Auftragnehmers (Schlüsselpositionen):..................................................................................... 41 10.2 Weitere Schlüsselpositionen des Auftragnehmers................................................................... 42 10.3 Projektsteuerung/Projektkoordinierung .................................................................................... 42 10.4 Behandlung von Änderungsverlangen (Change Requests) ..................................................... 42 11 Weitere Pflichten des Auftragnehmers................................................................................................ 42 11.1 Besondere Anforderungen an Mitarbeiter des Auftragnehmers............................................... 42 11.2 Allgemeine Sicherheitsanforderungen ..................................................................................... 43 11.3 Kopier- oder Nutzungssperre*.................................................................................................. 43 11.4 Mitteilungspflicht bezüglich der zur Vertragserfüllung eingesetzten Werkzeuge* .................... 43 11.5 Entsorgung der Hardware (ergänzend zu Ziffer 2.1 EVB-IT System-AGB) ............................. 43 11.6 Entsorgung der Verpackung..................................................................................................... 43 iii 12 Mitwirkung des Auftraggebers............................................................................................................. 43 13 Abnahme......................................................................................................................... .................... 44 13.1 Gegenstand der Abnahme ....................................................................................................... 44 13.2 Testdaten ................................................................................................................................ . 44 13.3 Dauer, Ort und Systemumgebung* der Funktionsprüfung ....................................................... 44 13.4 Vereinbarungen zur Durchführung der Funktionsprüfung und zur Erklärung der Abnahme .... 45 13.5 Vereinbarungen zu Mängelklassen im Rahmen der Funktionsprüfung.................................... 45 14 Mängelhaftung (Gewährleistung) ........................................................................................................ 45 14.1 Verjährungsfrist (Gewährleistungsfrist) für Mängel des Gesamtsystems................................. 45 14.2 Verjährungsfrist (Gewährleistungsfrist) für Mängel an Teilleistungen ...................................... 45 14.3 Mängelmeldungen................................................................................................................ .... 45 14.3.1 Form der Mängelmeldung ............................................................................................. 45 14.3.2 Adresse für Mängelmeldungen ..................................................................................... 46 14.4 Reaktions-* und Wiederherstellungszeiten*, Servicezeiten, Hotline ........................................ 46 14.4.1 Reaktions-* und Wiederherstellungszeiten*, Mängelklassen ........................................ 46 14.4.2 Servicezeiten................................................................................................................. 47 14.4.3 Hotline ........................................................................................................................... 47 14.5 Teleservice*.................................................................................................................... .......... 47 14.6 Weitere Vereinbarungen zur Mängelhaftung............................................................................ 47 15 Haftungsregelungen.............................................................................................................. .............. 48 15.1 Haftungsobergrenze bei leicht fahrlässiger Pflichtverletzung................................................... 48 15.2 Haftung bei Verzug................................................................................................................... 48 15.3 Haftung für den Systemservice ................................................................................................ 48 15.4 Haftung für entgangenen Gewinn ............................................................................................ 48 16 Vertragsstrafen bei Verzug.................................................................................................................. 48 16.1 Verzug bei Erstellung des Gesamtsystems.............................................................................. 48 16.2 Verzug bei Reaktions-* und Wiederherstellungszeiten*........................................................... 49 17 Weitere Vereinbarungen ..................................................................................................................... 49 17.1 Garantien....................................................................................................................... ........... 49 17.1.1 Auftragnehmergarantien................................................................................................ 49 17.1.2 Herstellergarantien........................................................................................................ 49 17.2 Übergabe bzw. Hinterlegung des Quellcodes*......................................................................... 49 17.3 Haftpflichtversicherung......................................................................................................... .... 49 17.4 Sicherheiten ............................................................................................................................. 50 17.4.1 Vorauszahlungsbürgschaft............................................................................................ 50 17.4.2 Vertragserfüllungs- oder Mängelhaftungssicherheit...................................................... 50 17.4.3 Kombinierte Vertragserfüllungs- oder Mängelhaftungssicherheit.................................. 50 17.5 Datenschutz, Geheimhaltung und Sicherheit ........................................................................... 51 17.6 Vereinbarungen zur Korruptionsprävention.............................................................................. 51 17.7 Kündigungsrecht des Auftraggebers ........................................................................................ 51 17.8 Sonstige Vereinbarungen......................................................................................................... 51 17.8.1 Vermietung von Hardware............................................................................................. 51 iv 17.8.2 Überlassung von Standardsoftware auf Zeit (Vermietung) ........................................... 52 17.8.3 Einrichtung eines Netzservices und Abwicklung von Zahlungen .................................. 52 17.8.4 Reporting....................................................................................................................... 54 17.8.5 Optionale Leistungen .................................................................................................... 54 17.8.6 Vergütung des Gesamtsystems .................................................................................... 54 17.8.7 Preisanpassungsklausel................................................................................................ 55 17.8.8 Kündigung des gesamten Systemvertrags.................................................................... 55 17.8.9 Vertragsstrafe bei Schlechtleistung............................................................................... 56 17.8.10 Keine Arbeitnehmerüberlassung ................................................................................. 56 17.8.11 Vertraulichkeitserklärung............................................................................................. 56 17.8.12 Korruptionsprävention und pauschalisierter Schadensersatz ..................................... 56 17.8.13 Datenschutzvereinbarung ........................................................................................... 56 17.8.14 Verpflichtungserklärung............................................................................................... 57 17.8.15 Abtretung..................................................................................................................... 57 17.8.16 Gerichtsstand .............................................................................................................. 57 17.8.17 Schriftformklausel........................................................................................................ 57 17.8.18 Salvatorische Klausel .................................................................................................. 57 Anlage 1 Leistungsbeschreibung mit Anlagen ................................................................................................. 58 Leistungsbeschreibung ............................................................................................................................ 58 1 Einleitung...................................................................................................................... ................. 60 1.1 Das Landesamt für Digitalisierung, Breitband und Vermessung........................................ 60 1.2 Vertragsgegenstand........................................................................................................... 60 1.3 Vertragslaufzeit .................................................................................................................. 60 1.4 Technische Änderungen, Weiterentwicklungen ................................................................. 61 2 Einzelne Vertragsbestandteile....................................................................................................... 61 2.1 Anmietung von 73 Geräten ................................................................................................ 61 2.1.1 Allgemeine Anforderungen...................................................................................... 61 2.1.2 Hardware................................................................................................................. 61 2.1.3 Software .................................................................................................................. 62 2.1.4 Programmierung der Geräte ................................................................................... 62 2.1.5 Anbindung der Kartenzahlungsgeräte an den Server des Auftragnehmers............ 63 2.1.6 Pilotbetrieb an einem Standort ................................................................................ 64 2.1.7 Beifügen einer Dokumentation ................................................................................ 64 2.1.8 Umgebungsbedingungen ........................................................................................ 64 2.1.9 Barrierefreie Gestaltung .......................................................................................... 65 2.1.10 Lieferung der Geräte ............................................................................................. 65 2.1.11 Rücknahme der Geräte ......................................................................................... 65 2.2 Full-Service ........................................................................................................................ 65 2.2.1 Servicehotline.......................................................................................................... 65 2.2.2 Wiederherstellungszeit ............................................................................................ 66 2.2.3 Wartung und Reparatur der Geräte / Updates / Upgrades...................................... 66 2.2.4 Änderung der Stammdaten ..................................................................................... 66 v 2.3 Abwicklung von Zahlungen ................................................................................................ 67 2.3.1 Zahlungsarten ......................................................................................................... 67 2.3.2 Zahlungsvorgang..................................................................................................... 67 2.3.2.1 Bezahlvorgang beim Zahlungspflichtigen..................................................... 67 2.3.2.2 Einzug beim Zahlungspflichtigen.................................................................. 67 2.3.2.3 Gutschrift auf das Konto des Auftraggebers ................................................ 67 2.3.3 Anforderungen an die Gutschrift ............................................................................. 68 2.4 Reporting....................................................................................................................... ..... 68 2.5 Sonstige Leistungen........................................................................................................... 68 3 Vergütung...................................................................................................................... ................ 69 Anlage Sicherheitsrichtlinien .................................................................................................................... 70 Anlage Dienststellen................................................................................................................... .............. 101 bvv-dienststellen............................................................................................................... ................ 101 Vereinbarung_zur_Auftragsverarbeitung ......................................................................................................... 105 Inhaltsverzeichnis.............................................................................................................. ....................... 106 Präambel ................................................................................................................................ .................. 107 1 Anwendungsbereich............................................................................................................... ............ 108 2 Konkretisierung des Auftragsinhalts................................................................................................... 108 3 Verantwortlichkeit und Weisungsbefugnis.......................................................................................... 108 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter ................................... 110 5 Technische und organisatorische Maßnahmen und deren Kontrolle ................................................. 110 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter .................................................................... 112 7 Löschung und Rückgabe von Daten .................................................................................................. 112 8 Subunternehmen.................................................................................................................. .............. 113 9 Datenschutzkontrolle............................................................................................................ .............. 114 10 Anweisungs-, empfangs- und kontrollberechtigte Personen ............................................................ 114 11 Schlussbestimmungen ..................................................................................................................... 114 Anhang 1............................................................................................................................... ................... 115 Niederschrift über die Verpflichtungserklärung ........................................................................................ 115 Anhang 2............................................................................................................................... ................... 117 Technische und organisatorische Maßnahmen ....................................................................................... 117 1 Technische und organisatorische Sicherheitsmaßnahmen................................................................ 117 2 Innerbehördliche oder innerbetriebliche Organisation des Auftragsverarbeiters ............................... 117 3 Konkretisierung der Einzelmaßnahmen ............................................................................................. 118 Anhang 3............................................................................................................................... ................... 121 Muster eines Löschungsprotokolls ........................................................................................................... 121 Anhang 4............................................................................................................................... ................... 122 Liste der anweisungs-, empfangs- und kontrollberechtigte Personen...................................................... 122 Produkte/Leistungen ................................................................................................................................ ................ 123 Kriterienkatalog ................................................................................................................................ ........................ 128 Anlagen ................................................................................................................................ .................................... 133 vi VERFAHRENSINFORMATIONEN Ausschreibung 05.08.2019 Verfahren: 2019MRE000003 - Kartenzahlungsgeräte für die ÄDBV INFORMATIONEN ZUR AUSSCHREIBUNG ALLGEMEIN Auftragsname Kartenzahlungsgeräte für die ÄDBV Auftraggeber Freistaat Bayern vertreten durch das Bayerische Landesamt für Steuern - Zentrale Vergabestelle Liefer-/Ausführungsort 80538 München VERFAHREN Vergabeart Öffentliche Ausschreibung (UVgO) Losweise Vergabe Nein Nebenangebote Nebenangebote sind nicht zugelassen Zuschlagskriterium Niedrigster Preis TERMINE Frist Bieterfragen 29.08.2019 12:00 Angebotsfrist 06.09.2019 10:00:00 Bindefrist 08.10.2019 ANGEBOTE Verwendung elektronischer Mittel Die Einreichung der Angebote/Teilnahmeanträge darf nur elektronisch erfolgen Geforderte Signaturen Textform nach 126b BGB ELEKTRONISCHE TEILNAHME BROWSEREINSTELLUNGEN Verwenden Sie zur Navigation in eVergabe nur die Menüpunkte der Anwendung. Wenn Sie über die Browser - Schaltflächen navigieren, werden die Informationen nicht zum Anwendungsserver übertragen und eVergabe zeigt ggf. eine falsche Seite an. Eventuell gehen Daten verloren! Sicherheitseinstellungen an Ihrem Browser: JavaScript muss aktiviert sein Cookies (insbesondere Sitzungscookies) müssen erlaubt sein Pop-Ups müssen erlaubt sein Internet Explorer Version 10 und höher, Mozilla Firefox oder Safari als mögliche Browser Internet Explorer 11 nur ohne die Einstellung "Kompatibilitätsansicht" ANGEBOT ERSTELLEN UND ABGEBEN Nachdem alle Arbeitsschritte erledigt sind, klicken Sie im Assistenten auf "Angebot abgeben" und geben im Feld "Unterschrift des Angebotsersteller(in)" den Unterzeichner an. Zum Abgeben des Angebots klicken Sie in der Menüzeile auf "Angebot abgeben". Damit ist die Textform nach 126b BGB bereits erfüllt. Falls oben unter Angebote / Geforderte Signaturen eine qualifizierte elektronische Signatur oder eine fortgeschrittene elektronische Signatur vorgegeben ist, müssen Sie Ihr Angebot noch entsprechend elektronisch signieren. Der genaue Ablauf und die Anforderungen an die benötigten Komponenten sind im Bieter-Handbuch erläutert. Nach erfolgreicher elektronischer Angebotsabgabe erhalten Sie Ihr Angebot als PDF-Datei. KOMMUNIKATION Die Kommunikation mit der Vergabestelle, insbesondere zu Nachforderungen, sowie das Stellen von Bieterfragen erfolgt ausschließlich im jeweiligen Verfahren über den Bieterassistenten unter "Nachrichten". Sie erhalten hierzu unmittelbar eine Benachrichtigung per E-Mail. Bitte prüfen Sie in diesem Fall Ihren Posteingang unter "Nachrichten" und bestätigen dort die Kenntnisnahme. Verfahrensinformationen - 1/1 1 Projekt-Nr.: Aktenzeichen: Projektname: Firmenbezeichnung und Anschrift Angaben zu Fristen und Ansprechpartner Ablauf der Angebotsfrist: Ablauf der Bindefrist: voraussichtliche Ausführungsfrist: Beginn: Ende: E-Mail: Datum: Aufforderung zur Angebotsabgabe Sehr geehrte Damen und Herren, die Vergabestelle beabsichtigt, einen öffentlichen Auftrag zu vergeben. Falls Sie an diesem Auftrag interessiert sind, bitten wir Sie, ein Angebot abzugeben. Es gelten die angefügten Bewerbungsbedingungen. Wir würden uns über ein Angebot Ihrerseits sehr freuen. Freundliche Grüße Kartenzahlungsgeräte für die ÄDBV 2019MRE000003 H 1620.2.1-964 06.09.2019 10:00:00 08.10.2019 01.01.2020 31.12.2023 ausschreibung@lfst.bayern.de 05.08.2019 Matthias Reitner 2 Projekt-Nr.: Aktenzeichen: Projektname: Bewerbungsbedingungen 1. Gegenstand der Auftragsvergabe 2. Angebotsabgabe 2.1. Fristen Die Angebotsfrist endet am Uhr. Der Bieter kann sein Angebot nur bis zum Ablauf der Angebotsfrist zurückziehen oder berichtigen. Der Auftraggeber wird den Zuschlag spätestens am erteilen. Der Bieter ist bis dahin an sein Angebot gebunden (Bindefrist). Die Frist für Bieterfragen endet am Uhr. Fragen, die nicht rechtzeitig eingehen werden grundsätzlich nicht beantwortet. Anmietung von 73 Kartenzahlungsgeräten, Zahlungsabwicklung, Full-Service und Reporting für alle Dienststellen der Ämter für Digitalisierung, Breitband und Vermessung. 06.09.2019 10:00:00 08.10.2019 29.08.2019 12:00 2019MRE000003 H 1620.2.1-964 Kartenzahlungsgeräte für die ÄDBV 3 2.2. Form des Angebots Das Angebot ist in elektronischer Form abzugeben. Konventionelle schriftliche Angebote in Papierform werden nicht berücksichtigt. Die Angebotserstellung erfolgt komplett über die Vergabeplattform eVergabe. Sie können die online-Bearbeitung des Angebots jederzeit unterbrechen und sich dann wieder über die Vergabeplattform in den Angebotsassistenten (durch Auswahl des entsprechenden Verfahrens in der Registerkarte Meine Angebote) einwählen. Die erforderlichen Arbeitsschritte zur Erstellung eines elektronischen Angebots sind im Bieter-Handbuch dargestellt. Die Vergabestelle hat für die rechtsgültige Abgabe der Angebote entweder ein zwingendes Formerfordernis oder mehrere alternativ gültige Formerfordernisse vorgegeben, die Ihnen im Schritt Angebot unterschreiben zur Auswahl angeboten werden: Einfache Textform Bei Auswahl der Textform nach 126b BGB genügt die Angabe eines Angebotserstellers im dafür vorgesehenen Feld und die anschließende Bestätigung über den Button Unterschreiben. Elektronische Signatur Bei Auswahl einer elektronischen Signatur müssen Sie Ihr Angebot noch mit einer fortgeschrittenen oder qualifizierten elektronischen Signatur gemäß 2 Nr. 2. und Nr. 3 des Gesetzes über Rahmenbedingungen für elektronische Signaturen versehen. Bitte beachten Sie hierfür die im Angebotsassistenten beschriebene Vorgehensweise. Der genaue Ablauf und die Anforderungen an die benötigten Komponenten sind im Bieter-Handbuch erläutert. 2.3. Weitere Festlegungen zur Angebotsabgabe Das Angebot muss vollständig sein. Alle geforderten Leistungsmerkmale müssen angeboten werden und in den angebotenen Preispositionen enthalten sein. Alle Nebenkosten, die bei der Erbringung der Leistungen entstehen, müssen in der Preiskalkulation berücksichtigt sein, sofern sie in den Vergabeunterlagen nicht gesondert abgefragt werden. 4 Preise im Angebot sind in Euro anzugeben, Zahlungen erfolgen ebenfalls in Euro. Entspricht der Gesamtbetrag einer Position nicht dem Ergebnis der Multiplikation von Mengenansatz und Einheitspreis, so ist der Einheitspreis maßgebend. Der Aufbau des Angebots ergibt sich aus den Vergabeunterlagen. Es sind ausschließlich die von der Vergabestelle elektronisch zur Verfügung gestellten Vergabeunterlagen in der zuletzt gültigen Fassung zu verwenden. Die geforderten Unterlagen sind dem Angebot bis zum Ablauf der Angebotsfrist beizufügen, es sei denn es ergibt sich aus den Vergabeunterlagen im Übrigen etwas anderes. Nachweise, die bei Angebotsabgabe zu erbringen sind, müssen im Arbeitsschritt Eigene Anlagen elektronisch beigefügt werden. Dateien unterliegen hinsichtlich Größe und Benennung Beschränkungen, auf die gesondert hingewiesen wird. Der Auftraggeber behält sich Nachforderungen nach Maßgabe des 41 Abs. 2 UVgO vor. Bitte beachten Sie, dass Verweise auf Datenträger, Literatur, Broschüren usw. die geforderten Antworten und Erklärungen nicht ersetzen. Sie werden nicht bewertet. Änderungen und Ergänzungen an den Vergabeunterlagen sind unzulässig und führen zum Ausschluss des Angebots. Das gilt insbesondere dann, wenn das Angebot die Allgemeinen Geschäftsbedingungen des Bieters enthält. Bitte bedenken Sie, dass auch ein von Ihnen beigefügtes Begleitschreiben oder Ausführungen in einem geforderten Konzept etc. die Vergabeunterlagen in diesem Sinne ändern können. Betriebs- oder Geschäftsgeheimnisse sind in den Angebotsunterlagen entsprechend kenntlich zu machen. Im Angebot ist anzugeben, ob für den Gegenstand des Angebots gewerbliche Schutzrechte bestehen oder vom Bieter oder anderen beantragt sind. Sämtliche Unterlagen sind in der gemäß den Vergabeunterlagen geforderten Form einzureichen. Unterlagen die nicht der vorgegebenen Form entsprechen, gelten als nicht abgegeben. Das Angebot mit allen Anlagen ist in deutscher Sprache abzufassen. 5 Sofern Nachweise oder Erklärungen gefordert sind, die ein Bieter eines europäischen Mitgliedstaates objektiv nicht beibringen kann, werden vergleichbare Nachweise oder Erklärungen nach dem Recht des Sitzes des Bieters anerkannt. Soweit nichts anderes bestimmt ist, sind hierfür Übersetzungen vorzulegen, die durch einen amtlich vereidigten Übersetzer gefertigt wurden. Die Bieter haben auf erkannte Widersprüche und Fehler in den Vergabeunterlagen hinzuweisen. Konkretisieren die Antworten des Auftraggebers auf Bieterfragen die Vergabeunterlagen, werden die Antworten Bestandteil und Gegenstand der Vergabeunterlagen. Maßgeblich sind jeweils die zeitlich letzten Antworten des Auftraggebers. Für die Erstellung des Angebots wird keine Vergütung gewährt. Dem Angebot beigefügte Unterlagen, Muster usw. gehen, sofern nichts anderes vereinbart, ohne Anspruch auf Vergütung in das Eigentum des Auftraggebers über. Die Vergabeunterlagen dürfen nur zur Erstellung des Angebotes verwendet werden. Jede Weitergabe oder Veröffentlichung (auch auszugsweise) der Vergabeunterlagen ohne schriftliche Zustimmung des Auftraggebers ist unzulässig. Der Bieter hat auch nach Beendigung des Verfahrens über die ihm bekannt gewordenen vertraulichen Informationen des Auftraggebers Verschwiegenheit zu wahren. Bei Verzicht auf eine Angebotsabgabe oder für den Fall, dass das Angebot den Zuschlag nicht erhält, sind alle Vergabeunterlagen zu vernichten. Für das Vergabeverfahren gilt deutsches Recht. Soweit sich aus den Vergabeunterlagen nichts anderes ergibt, gelten die Allgemeinen Vertragsbedingungen für die Ausführung von Leistungen (VOL/B) in der derzeit gültigen Fassung nachrangig zu den Regelungen in den Vergabeunterlagen. Falls während der Angebotsphase die Vergabeunterlagen durch den Auftraggeber geändert werden sollten (Korrekturzyklus), verlieren automatisch alle bis dahin abgegebenen Angebote ihre Gültigkeit. Zur Erreichbarkeit des Bieters für diese Fälle siehe Tz. 6 unten. Falls ein Angebot aufrechterhalten werden soll, muss es über den Angebotsassistenten erneut abgegeben werden. Hierzu kann eine automatisch angelegte Kopie des bisherigen Angebots als gültiges Angebot bestätigt werden. Es werden nur Angebote fachkundiger und leistungsfähiger Bieter berücksichtigt, bei denen keine Ausschlussgründe vorliegen. 6 Die Eignung der Bieter wird anhand der geforderten Erklärungen und Nachweise beurteilt. Sofern geforderte Erklärungen und Nachweise bereits bei der Eintragung in ein amtliches Verzeichnis oder einer Zertifizierung im Sinn des 35 Abs. 6 UVgO abgegeben wurden, kann ersatzweise die Bescheinigung der aktuellen Eintragung oder Zertifizierung vorgelegt werden. Darüber hinaus gehende Anforderungen müssen gesondert nachgewiesen werden. Im Falle der Bildung einer Bietergemeinschaft oder der Unterbeauftragung oder sonstigen Berufung auf die Leistungsfähigkeit eines Dritten (Eignungsleihe) können sich die Angaben und Erklärungen für die einzelnen Unternehmen ergänzen, um die insgesamt erforderliche Leistungsfähigkeit nachzuweisen. Sofern ein Bieter bzw. eine Bietergemeinschaft zum Nachweis der Leistungsfähigkeit die Kapazitäten anderer Unternehmen in Anspruch nehmen möchte, ist nachzuweisen, dass die für den Auftrag erforderlichen Mittel bei der Ausführung des Auftrags tatsächlich zur Verfügung stehen. Der Nachweis kann z. B. durch eine entsprechende unterschriebene Verpflichtungserklärung des Dritten erfolgen. 2.4. Bietergemeinschaften, Unterauftragnehmer und verbundene Unternehmen Bietergemeinschaften Die Angebotsabgabe ist durch Einzelbieter und Bietergemeinschaften möglich, soweit die Bildung der Bietergemeinschaft kartell- und wettbewerbsrechtlich zulässig ist. Das Vorliegen der kartell- und wettbewerbsrechtlichen Voraussetzungen ist dem Auftraggeber auf Verlangen nachzuweisen. Eine Bietergemeinschaft hat mit ihrem Angebot eine von allen Mitgliedern rechtsverbindlich unterschriebene Erklärung abzugeben in der die Bildung einer Arbeitsgemeinschaft im Auftragsfall erklärt ist, in der alle Mitglieder mit postalischer Anschrift und unter Bezeichnung ihrer Vertretungsverhältnisse aufgeführt sind und ein von allen für die Durchführung des Vergabeverfahrens und Vertrages gegenüber dem Auftraggeber bevollmächtigter Vertreter bezeichnet ist, dass dieser Vertreter gegenüber dem Auftraggeber alle Mitglieder rechtsverbindlich vertritt, dass alle Mitglieder für die Erfüllung sämtlicher vertraglichen Verpflichtungen als Gesamtschuldner haften, 7 in der eine Kontonummer bei einem näher bezeichneten Kreditinstitut angegeben ist, auf die sämtliche Zahlungen des Auftraggebers mit befreiender Wirkung für alle am Vertrag Beteiligten geleistet werden können. In Verträgen zwischen Mitgliedern von Arbeitsgemeinschaften sind die Belange kleiner und mittlerer Unternehmen angemessen zu berücksichtigen. Dies ist dem Auftraggeber auf Verlangen nachzuweisen. Bei Beteiligung sog. bevorzugter Bieter an einer Bietergemeinschaft bitte Tz. 4 beachten. Unterauftragnehmer Die Einschaltung von Unterauftragnehmern ist grundsätzlich zulässig, soweit sich aus den Vergabeunterlagen im Übrigen nichts anderes ergibt. Sofern ein Bieter oder eine Bietergemeinschaft Unterauftragnehmer einschaltet, tritt der Bieter als Generalunternehmer auf. Er haftet für die ordnungsgemäße Gesamtabwicklung des Auftrags. Der Name und die Leistungen der Unterauftragnehmer sind im Angebot zu benennen. Darüber hinaus hat der Bieter zum Nachweis des Nichtvorliegens von Ausschlussgründen, sowie der Fachkunde und Leistungsfähigkeit der vorgesehenen Unterauftragnehmer die entsprechenden Erklärungen vom jeweiligen Unterauftragnehmer unterschreiben und mit Firmenstempel versehen zu lassen. Das gilt auch, wenn in den betreffenden Erklärungen keine Unterschriftenzeile vorgesehen ist. Der Auftragnehmer bemüht sich bei der Einholung von Angeboten der Unterauftragnehmer regelmäßig kleine und mittlere Unternehmen angemessen zu beteiligen. Er verpflichtet sich, bei der Weitergabe von Lieferleistungen die VOL/B zum Vertragsbestandteil zu machen. Der Auftragnehmer verpflichtet sich außerdem den Unterauftragnehmern insbesondere hinsichtlich Gewährleistung, Vertragsstrafe, Zahlungsweise und Sicherheitsleistungen keine ungünstigeren Bedingungen aufzuerlegen, als zwischen ihm und dem Auftraggeber vereinbart sind. 8 Verbundene Unternehmen Die Angebotsabgabe durch verbundene Unternehmen ist grundsätzlich zulässig, soweit sich aus den Vergabeunterlagen im Übrigen nichts anderes ergibt. Sofern ein Bieter oder eine Bietergemeinschaft verbundene Unternehmen einschaltet, tritt der Bieter als Generalunternehmer auf. Er haftet für die ordnungsgemäße Gesamtabwicklung des Auftrags. Der Name und die Leistungen der verbundenen Unternehmen sind im Angebot zu benennen. Darüber hinaus hat der Bieter zum Nachweis des Nichtvorliegens von Ausschlussgründen sowie der Fachkunde und Leistungsfähigkeit der vorgesehenen verbundenen Unternehmen die entsprechenden Erklärungen vom jeweiligen verbundenen Unternehmen unterschreiben und mit Firmenstempel versehen zu lassen. Das gilt auch, wenn in den betreffenden Erklärungen keine Unterschriftenzeile vorgesehen ist. 2.5. Wettbewerbsbeschränkende Verhaltensweisen Wettbewerbsbeschränkende Absprachen gem. 1 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) sind unzulässig und führen zum Ausschluss der Angebote der Beteiligten. Zur Bekämpfung der Verhinderung, Einschränkung oder Verfälschung des Wettbewerbs hat der Bieter auf Verlangen des Auftraggebers Auskünfte darüber zu geben, ob und auf welche Art der Bieter wirtschaftlich und rechtlich mit Unternehmen verbunden ist. Die Verpflichtungen aus Ziff. 2.4 bleiben davon unberührt. 3. Hinweise zu Prüfung und Wertung von Angeboten Es gelangen nur diejenigen Angebote in die Prüfung und Wertung, die sämtliche Anforderungen nach diesen Vergabeunterlagen erfüllen. Die Angebote werden hinsichtlich formaler Vollständigkeit und Richtigkeit, des Vorliegens von Ausschlussgründen, Eignung der Bieter, Angemessenheit der Preise sowie Wirtschaftlichkeit geprüft und bewertet. 9 4. Bevorzugte Bieter Bieter, die als bevorzugte Bieter berücksichtigt werden wollen (Wertung des angebotenen Preises mit einem Abschlag von 10 Prozent vgl. Verwaltungsvorschrift zum öffentlichen Auftragswesen (VVöA) - Bekanntmachung der Bayerischen Staatsregierung vom 14. November 2017, Az. B II 2 G17/17), müssen dies im Angebot erklären und den Nachweis für das Vorliegen der Voraussetzungen führen. Wird der Nachweis nicht geführt, so wird das Angebot wie die Angebote nicht bevorzugter Bieter behandelt. Bietergemeinschaften, denen bevorzugte Bieter als Mitglieder angehören, haben zusätzlich den Anteil nachzuweisen, den die Leistungen dieser Mitglieder am Gesamtangebot haben. 5. Abschluss des Vergabeverfahrens Der Auftraggeber weist auf seine Verpflichtung aus 19 Abs. 4 des Mindestlohngesetzes (MiLoG) hin, wonach bei Aufträgen ab einer Höhe von 30.000 für den Bieter, der den Zuschlag erhalten soll, vor Zuschlagserteilung eine Auskunft aus dem Gewerbezentralregister nach 150a der Gewerbeordnung einzuholen ist. Bei Verhandlungsvergaben behält sich der Auftraggeber gemäß 12 Abs. 4 Satz 2 UVgO vor, den Zuschlag auch ohne zuvor verhandelt zu haben auf ein Angebot zu erteilen. Wird auf ein Angebot bis zum Ablauf der Bindefrist kein Zuschlag erteilt, gilt das Angebot als nicht berücksichtigt. 6. Kommunikation im Vergabeverfahren Die Kommunikation mit der Vergabestelle, insbesondere die Angebotsaufklärung und Nachforderungen sowie das Stellen von Bieterfragen und deren Beantwortung erfolgt ausschließlich im jeweiligen Verfahren über den Angebotsassistenten unter "Nachrichten". Sie erhalten hierzu unmittelbar eine Benachrichtigung per E-Mail. Bitte prüfen Sie in diesem Fall Ihren Posteingang unter "Nachrichten" und bestätigen dort die Kenntnisnahme. Telefonische Auskünfte werden vom Auftraggeber nicht erteilt. Bitte sorgen Sie dafür, dass Sie während des Vergabeverfahrens unter den von Ihnen in der eVergabe mitgeteilten E-Mail-Adressen auch tatsächlich erreichbar sind. Der Auftraggeber wickelt das Verfahren ausschließlich über diese Kontaktdaten ab. Das gilt auch, wenn über automatisch generierte Antworten (z.B. Abwesenheitsassistenten) andere Kontaktdaten mitgeteilt werden. 10 Projekt-Nr.: Aktenzeichen: Projektname: Firmenbezeichnung und -anschrift Eigenerklärung Es ist keine Person, deren Verhalten dem Unternehmen zuzurechnen ist, wegen einer der in 123 Abs. 1 GWB genannten Straftaten (z.B. 129 - 129b, 89c, 261, 263, 264, 299 - 299b, 108e, 333 - 335a, 232 - 233a StGB, Art. 2 2 IntBestG) oder vergleichbarer Vorschriften anderer Staaten verurteilt worden und es ist auch nicht aus denselben Gründen eine Geldbuße nach 30 OWiG gegen das Unternehmen festgesetzt worden. Das Unternehmen hat seine Verpflichtungen zur Zahlung von Steuern, Abgaben und Beiträgen zur Sozialversicherung ordnungsgemäß erfüllt. Das Unternehmen hat bei der Ausführung öffentlicher Aufträge nicht gegen geltende umwelt-, sozial- oder arbeitsrechtliche Verpflichtungen verstoßen. Das Unternehmen ist nicht zahlungsunfähig, es ist über das Vermögen des Unternehmens kein Insolvenzverfahren oder vergleichbares Verfahren beantragt oder eröffnet oder mangels Masse abgelehnt worden, und es befindet sich auch nicht in Liquidation oder hat seine Tätigkeit eingestellt. Das Unternehmen hat keine schweren Verfehlungen begangen, die seine Integrität als Auftragnehmer für öffentliche Aufträge in Frage stellen. Dies gilt auch für Personen, deren Verhalten dem Unternehmen zuzurechnen ist. 2019MRE000003 H 1620.2.1-964 Kartenzahlungsgeräte für die ÄDBV 11 Das Unternehmen hat im Vergabeverfahren keine vorsätzlich unzutreffenden Erklärungen abgegeben, keine irreführenden Informationen übermittelt und mit anderen Unternehmen keine Vereinbarungen getroffen, die eine Verhinderung, Einschränkung oder Verfälschung des Wettbewerbs bezwecken oder bewirken. Es liegt kein Ausschlussgrund nach 21 AentG, 19 MiloG, 21 SchwarzArbG und 98c AufenthG vor. Insbesondere wurde gegen das Unternehmen keine Geldbuße von mindestens 2.500 wegen eines Verstoßes nach 23 AEntG oder 21 MiloG verhängt. Auch wurde gegen das Unternehmen oder einen Vertretungsberechtigten keine Freiheitsstrafe von mehr als drei Monaten und keine Geldstrafe von mehr als 90 Tagessätzen oder Geldbuße von mindestens 2.500 wegen Verstoßes gegen eine in 21 SchwarzArbG aufgeführte Vorschrift verhängt. Tritt bei den vorgenannten Umständen zu einem späteren Zeitpunkt eine Änderung ein, so ist dies dem Auftraggeber unverzüglich mitzuteilen. Wissentlich falsche Erklärungen können den Ausschluss von diesem und weiteren Verfahren zur Folge haben. Werden diese Umstände nach Auftragserteilung bekannt, steht dem Auftraggeber ein außerordentliches Kündigungsrecht zu. Mögliche Schadensersatzforderungen bleiben davon unberührt. Sollten für Sie bzw. Ihr Unternehmen fakultative Ausschlussgründe nach 124 GWB vorliegen, schildern Sie bitte im Arbeitsschritt Eignungskriterien, weshalb diese nicht zu einem Ausschluss vom Verfahren führen sollen. Der Auftraggeber entscheidet im Rahmen der Angebotsprüfung über den Ausschluss. 12 Projekt-Nr.: Aktenzeichen: Projektname: Schutzerklärung 1. Erklärung zum Vergabeverfahren Der Bewerber/Bieter nimmt zur Kenntnis, dass die Nichtabgabe der Erklärung nach Nummer 2 oder die Abgabe einer wissentlich falschen Erklärung den Ausschluss von diesem Vergabeverfahren zur Folge hat. 2. Erklärung für den Fall der Zuschlagserteilung Der Bewerber/Bieter versichert, 2.1. dass er gegenwärtig sowie während der gesamten Vertragsdauer die Technologie von L. Ron Hubbard nicht anwendet, lehrt oder in sonstiger Weise verbreitet, er keine Kurse oder Seminare nach dieser Technologie besucht und Beschäftigte oder sonst zur Erfüllung des Vertrags eingesetzte Personen keine Kurse oder Seminare nach dieser Technologie besuchen lässt; 2.2. dass nach seiner Kenntnis keine der zur Erfüllung des Vertrags eingesetzten Personen die Technologie von L. Ron Hubbard anwendet, lehrt oder in sonstiger Weise verbreitet oder Kurse oder Seminare nach dieser Technologie besucht. 2.3. Der Bewerber/Bieter verpflichtet sich, solche zur Erfüllung des Vertrags eingesetzte Personen von der weiteren Durchführung des Vertrags unverzüglich auszuschließen, die während der Vertragsdauer die Technologie von L. Ron Hubbard anwenden, lehren, in sonstiger Weise verbreiten oder Kurse oder Seminare nach dieser Technologie besuchen. 2.4. Die Abgabe einer wissentlich falschen Erklärung nach Nummer 2.1 oder 2.2 sowie ein Verstoß gegen die Verpflichtung nach Nummer 2.3 berechtigen den Auftraggeber zur Kündigung aus wichtigem Grund ohne Einhaltung einer Frist. Weitergehende Rechte des Auftraggebers bleiben unberührt. 3. Hinweis nach Art. 16 Abs. 3 des Bayerischen Datenschutzgesetzes: Hinsichtlich des Zwecks der Schutzerklärung wird auf die Bekanntmachung der Bayerischen Staatsregierung vom 29. Oktober 1996 verwiesen. 2019MRE000003 H 1620.2.1-964 Kartenzahlungsgeräte für die ÄDBV 13 Scientology-Organisation Verwendung von Schutzerklärungen bei der Vergabe öffentlicher Aufträge Bekanntmachung der Bayerischen Staatsregierung vom 29. Oktober 1996 Nr. 476-2-151 (AllMBl. S.701, StAnz. Nr. 44): Die Scientology-Organisation in allen ihren Erscheinungsformen ist eine Vereinigung, die unter dem Deckmantel einer Religionsgemeinschaft wirtschaftliche Ziele verfolgt und den einzelnen mittels rücksichtslos eingesetzter psycho- und sozial-technologischer Methoden einer totalen inneren und äußeren Kontrolle unterwirft, um ihn für ihre Ziele zu instrumentalisieren. Auf Grund der jetzigen Erkenntnislage ist davon auszugehen, dass ein nach der Technologie von L. Ron Hubbard geführtes Unternehmen als Bestandteil der Gesamtorganisation Scientology zu betrachten ist. Ein derartiges Unternehmen übernimmt die Verpflichtung, die Technologie von L. Ron Hubbard und die Ideologie von Scientology zu verbreiten, ihren Bestand zu sichern und in der Gesellschaft als allgemeines Gedankengut zu etablieren. Dadurch droht auch öffentlichen Stellen bei Geschäftskontakten eine Infiltration und Ausforschung durch Scientology. Um dieser Gefahr wirksam begegnen zu können, wird bestimmt: 1. Von Auftragnehmern ist bei der Vergabe öffentlicher Dienstleistungsaufträge in den nachfolgenden Fällen bei der Auftragsvergabe eine Schutzerklärung gemäß Anlage zu verlangen, die bei Annahme des Angebots Vertragsbestandteil wird. Schutzerklärungen sind zulässig und notwendig, um bei solchen Vertragsverhältnissen die Zuverlässigkeit und Leistungsfähigkeit des Auftragnehmers abzuklären, die Möglichkeiten zur Einflussnahme auf die Organisation des Vertragspartners oder seine Beschäftigten eröffnen ein besonderes Vertrauensverhältnis voraussetzen oder die Offenlegung von wesentlichen internen Vorgängen und Daten gegenüber dem Vertragspartner erfordern. Schutzerklärungen kommen demnach regelmäßig in folgenden Vertragsverhältnissen in Betracht: Unternehmensberatung, Personal- und Managementschulung, Fortbildungs- und Vortragsveranstaltungen, Softwareberatung, -entwicklung und -pflege, Projektentwicklung und -steuerung, Forschungs- und Untersuchungsaufträge. 2. Die Nichtabgabe der Erklärung oder die Abgabe einer wissenschaftlich falschen Erklärung hat den Ausschluss von dem laufenden Vergabeverfahren zur Folge. 3. Erweist sich nach Vertragsschluss, dass eine wissentlich falsche Erklärung abgegeben oder gegen die mit der Erklärung eingegangenen Verpflichtungen verstoßen wurde, so ist der Vertrag aus wichtigem Grund ohne Einhaltung einer Frist zu kündigen. 4. Den kommunalen Auftraggebern und den sonstigen der Aufsicht des Freistaates Bayern unterliegenden juristischen Personen des öffentlichen Rechts wird empfohlen, entsprechend zu verfahren. Das gleiche gilt für die Empfänger von Zuwendungen des Freistaates Bayern, wenn die Zuwendungen für Maßnahmen nach Nummer 1 gegeben werden. 5. Diese Bekanntmachung tritt am 1. November 1996 in Kraft. 14 Projekt-Nr.: Aktenzeichen: Projektname: Darstellung der Struktur des Bieters 1. Die Teilnahme am Verfahren erfolgt als: Einzelbieter Bietergemeinschaft Name des Bieters / der Bietergemeinschaft: unter Einbeziehung von verbundenen Unternehmen (V) unter Einbeziehung von Unterauftragnehmern (U) 2. Folgende Unternehmen sind Mitglieder der Bietergemeinschaft: Name und postalische Anschrift Vorgesehene Aufgaben im Rahmen des Projekts bei bevorzugten Bietern ggf. Anteil am Gesamtangebot Bitte beachten Sie, dass Bietergemeinschaften mit Angebotsabgabe eine von allen Mitgliedern unterschriebene Erklärung nach Ziff. 2.4.1 der Bewerbungsbedingungen vorzulegen haben. Laden Sie die Erklärung dazu bitte im Angebotsassistenten im Arbeitsschritt Eigene Anlagen hoch. 2019MRE000003 H 1620.2.1-964 Kartenzahlungsgeräte für die ÄDBV 15 3. Bevollmächtigter Vertreter: Angabe des von allen Mitgliedern für die Durchführung des Vergabeverfahrens und Vertrages gegenüber dem Auftraggeber bevollmächtigten Vertreters 4. Weitere Angaben zu verbundenen Unternehmen oder Unterauftragnehmern: Folgende Unternehmen sollen als verbundene Unternehmen (nachfolgend: V) oder Unterauftragnehmer (nachfolgend: U) eingesetzt werden: Name und postalische Anschrift Status V / U Vorgesehene Aufgaben im Rahmen des Projekts Bitte zusätzlich Ziffer 2.4.2 und 2.4.3 der Bewerbungsbedingungen beachten. 16 Projekt-Nr.: Aktenzeichen: Projektname: Auskunft aus dem Gewerbezentralregister gem. 150a Abs. 1 Nr. 4 GewO Öffentliche Auftraggeber sind nach 19 Abs. 4 des Gesetzes zur Regelung eines allgemeinen Mindestlohns (MiLoG) bei Aufträgen ab einer Höhe von 30.000 verpflichtet, für die Bewerberin oder den Bewerber, die oder der den Zuschlag erhalten soll, vor der Zuschlagserteilung eine Auskunft aus dem Gewerbezentralregister nach 150a GewO anzufordern. Hierzu werden folgende Angaben benötigt: 1. Name des Unternehmens 2. Unternehmensform Juristische Person/Personenvereinigung (z.B. OHG, KG, GmbH, GmbH & Co KG) (bitte weiter bei Punkt 3) Natürliche Person / GbR (bitte weiter bei Punkt 4) 3. Juristische Personen/Personenvereinigungen Sitz der Firma Anschrift der Firma Straße und Hausnummer PLZ und Ort Handelsregisternummer Registergericht 2019MRE000003 H 1620.2.1-964 Kartenzahlungsgeräte für die ÄDBV 17 4. Natürliche Person / GbR Die Angaben werden für jeden Gesellschafter benötigt. Bei mehr als drei Gesellschaftern machen Sie die erforderlichen Angaben bitte auf einer gesonderten Anlage und laden diese unter dem Arbeitsschritt Anlagen im Angebotsassistenten hoch. 1. Gesellschafter Geburtsname Familienname Vorname Geburtsdatum Geburtsort Staatsangehörigkeit Geburtsname der Mutter 2. Gesellschafter Geburtsname Familienname Vorname Geburtsdatum Geburtsort Staatsangehörigkeit Geburtsname der Mutter 3. Gesellschafter Geburtsname Familienname Vorname Geburtsdatum Geburtsort Staatsangehörigkeit Geburtsname der Mutter 18 EVB-IT Systemvertrag Seite 1 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Vertrag über die Erstellung eines Gesamtsystems Inhaltsangabe 1 Gegenstand, Vergütung und Bestandteile des Vertrages 4 1.1 Vertragsgegenstand 4 1.2 Vergütung 5 1.3 Vertragsbestandteile* 5 1.3.1 dieser Vertragstext bestehend aus den Seiten 1 bis 39 und den folgenden Anlagen: 5 2 Übersicht über die vereinbarten Leistungen 6 2.1 Leistungen bis zur Abnahme 6 2.2 Leistungen nach der Abnahme 6 2.3 Vorgehensmodell 7 3 Systemumgebung* des Gesamtsystems und beizustellende Systemkomponenten* 7 4 Leistungen des Auftragnehmers zur Erstellung des Gesamtsystems 7 4.1 Verkauf von Hardware 7 4.2 Vermietung von Hardware 7 4.3 Überlassung von Standardsoftware* gegen Einmalvergütung auf Dauer (Verkauf) entfällt 9 4.3.1 Leistungsumfang und Vergütung 9 4.3.2 Mitteilung über Anpassungen der Standardsoftware* auf Quellcodeebene 10 4.3.3 Abweichende Lizenzbedingungen 10 4.3.4 Bereitstellung der Standardsoftware* 10 4.4 Überlassung von Standardsoftware* auf Zeit (Vermietung) 11 4.4.1 Leistungsumfang und Vergütung 11 4.4.2 Mitteilung über Anpassungen der Standardsoftware* auf Quellcodeebene 12 4.4.3 Abweichende Lizenzbedingungen 12 4.4.4 Bereitstellung der Standardsoftware* 12 4.5 Erstellung und Überlassung von Individualsoftware* auf Dauer 13 4.6 Übernahme von Altdaten und andere Migrationsleistungen 13 4.7 Erstellung des Gesamtsystems und Herbeiführung der Betriebsbereitschaft* 13 4.7.1 Leistungsumfang 13 4.7.2 Abweichende Nutzungsrechtsvereinbarungen 13 4.7.3 Vergütung 13 4.8 Schulung 13 4.9 Dokumentation 13 4.10 Sonstige Leistungen zur Systemerstellung 14 4.10.1 Leistungsumfang 14 4.10.2 Vergütung 14 5 Systemservice 14 5.1 Arten von Systemserviceleistungen 14 5.1.1 Wiederherstellung der Betriebsbereitschaft* des Gesamtsystems (Störungsbeseitigung) 14 5.1.2 Aufrechterhaltung der Betriebsbereitschaft* (vorbeugende Maßnahmen) 16 5.1.3 Überlassung von verfügbaren Programmständen* (Standardsoftware*) 16 5.2 Beginn / Dauer der Systemserviceleistungen 17 5.3 Kündigung von Systemserviceleistungen 17 5.4 Vergütung/Zahlungsfristen für Systemserviceleistungen 18 5.4.1 Vergütung 18 5.4.2 Zahlungsfristen für Systemserviceleistungen 18 5.5 Sonstige Regelungen zu Systemserviceleistungen 18 5.5.1 Teleservice* 18 5.5.2 Abnahme der Systemserviceleistungen 18 5.5.3 Dokumentation der Systemserviceleistungen 18 6 Weitere Leistungen nach der Abnahme 18 6.1 Weiterentwicklung und Anpassung des Gesamtsystems nach der Abnahme 18 6.2 Sonstige Leistungen nach der Abnahme 19 6.2.1 Leistungsumfang 19 6.2.2 Vergütung 19 19 EVB-IT Systemvertrag Seite 2 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 7 Ergänzende Vereinbarungen bei Vergütung nach Aufwand entfällt 19 7.1 Vereinbarung der Preiskategorien bei Vergütung nach Aufwand 19 7.2 Zeiten der Leistungserbringung bei Vergütung nach Aufwand 19 7.2.1 Während der Geschäftszeiten an Werktagen (außer an Samstagen und Feiertagen am Erfüllungsort) 19 7.2.2 Außerhalb der Geschäftszeiten an Werktagen (außer an Samstagen und Feiertagen am Erfüllungsort) 20 7.2.3 Während sonstiger Zeiten 20 7.3 Abweichende Regelungen für die Bestimmung und Vergütung von Personentagessätzen 20 7.4 Reisekosten, Nebenkosten*, Materialkosten und Reisezeiten 20 7.4.1 Reisekosten, Nebenkosten* und Materialkosten 20 7.4.2 Reisezeiten 21 7.5 Besondere Bestimmungen zur Vergütung nach Aufwand 21 7.6 Preisanpassung für Systemserviceleistungen, die nicht im Pauschalfestpreis* enthalten sind 21 8 Termin- und Leistungsplan 21 9 Zahlungsplan 22 10 Projektmanagement 23 10.1 Ansprechpartner 23 des Auftragnehmers (Schlüsselpositionen): 23 10.2 Weitere Schlüsselpositionen des Auftragnehmers 24 10.3 Projektsteuerung/Projektkoordinierung 24 10.4 Behandlung von Änderungsverlangen (Change Requests) 24 11 Weitere Pflichten des Auftragnehmers 24 11.1 Besondere Anforderungen an Mitarbeiter des Auftragnehmers 24 11.2 Allgemeine Sicherheitsanforderungen 25 11.3 Kopier- oder Nutzungssperre* 25 11.4 Mitteilungspflicht bezüglich der zur Vertragserfüllung eingesetzten Werkzeuge* 25 11.5 Entsorgung der Hardware (ergänzend zu Ziffer 2.1 EVB-IT System-AGB) 25 11.6 Entsorgung der Verpackung 25 12 Mitwirkung des Auftraggebers 25 13 Abnahme 26 13.1 Gegenstand der Abnahme 26 13.2 Testdaten 26 13.3 Dauer, Ort und Systemumgebung* der Funktionsprüfung 26 13.4 Vereinbarungen zur Durchführung der Funktionsprüfung und zur Erklärung der Abnahme 27 13.5 Vereinbarungen zu Mängelklassen im Rahmen der Funktionsprüfung 27 14 Mängelhaftung (Gewährleistung) 27 14.1 Verjährungsfrist (Gewährleistungsfrist) für Mängel des Gesamtsystems 27 14.2 Verjährungsfrist (Gewährleistungsfrist) für Mängel an Teilleistungen 27 14.3 Mängelmeldungen 27 14.3.1 Form der Mängelmeldung 27 14.3.2 Adresse für Mängelmeldungen 28 14.4 Reaktions-* und Wiederherstellungszeiten*, Servicezeiten, Hotline 28 14.4.1 Reaktions-* und Wiederherstellungszeiten*, Mängelklassen 28 14.4.2 Servicezeiten 29 14.4.3 Hotline 29 14.5 Teleservice* 29 14.6 Weitere Vereinbarungen zur Mängelhaftung 29 15 Haftungsregelungen 30 15.1 Haftungsobergrenze bei leicht fahrlässiger Pflichtverletzung 30 15.2 Haftung bei Verzug 30 15.3 Haftung für den Systemservice 30 15.4 Haftung für entgangenen Gewinn 30 16 Vertragsstrafen bei Verzug 30 16.1 Verzug bei Erstellung des Gesamtsystems 30 16.2 Verzug bei Reaktions-* und Wiederherstellungszeiten* 31 17 Weitere Vereinbarungen 31 17.1 Garantien 31 20 EVB-IT Systemvertrag Seite 3 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 17.1.1 Auftragnehmergarantien 31 17.1.2 Herstellergarantien 31 17.2 Übergabe bzw. Hinterlegung des Quellcodes* 31 17.3 Haftpflichtversicherung 31 17.4 Sicherheiten 32 17.4.1 Vorauszahlungsbürgschaft 32 17.4.2 Vertragserfüllungs- oder Mängelhaftungssicherheit 32 17.4.3 Kombinierte Vertragserfüllungs- oder Mängelhaftungssicherheit 32 17.5 Datenschutz, Geheimhaltung und Sicherheit 33 17.6 Vereinbarungen zur Korruptionsprävention 33 17.7 Kündigungsrecht des Auftraggebers 33 17.8 Sonstige Vereinbarungen 33 17.8.1 Vermietung von Hardware 33 17.8.2 Überlassung von Standardsoftware auf Zeit (Vermietung) 34 17.8.3 Einrichtung eines Netzservices und Abwicklung von Zahlungen 34 17.8.4 Reporting 36 17.8.5 Optionale Leistungen 36 17.8.6 Vergütung des Gesamtsystems 36 17.8.7 Preisanpassungsklausel 37 17.8.8 Kündigung des gesamten Systemvertrags 37 17.8.9 Vertragsstrafe bei Schlechtleistung 38 17.8.10 Keine Arbeitnehmerüberlassung 38 17.8.11 Vertraulichkeitserklärung 38 17.8.12 Korruptionsprävention und pauschalisierter Schadensersatz 38 17.8.13 Datenschutzvereinbarung 38 17.8.14 Verpflichtungserklärung 39 17.8.15 Abtretung 39 17.8.16 Gerichtsstand 39 17.8.17 Schriftformklausel 39 17.8.18 Salvatorische Klausel 39 21 EVB-IT Systemvertrag Seite 4 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Vertrag über die Erstellung eines Gesamtsystems zwischen Freistaat Bayern -vertreten durch das Landesamt für Digitalisierung, Breitband und Vermessung- Alexandrastraße 4 80538 München im Folgenden Auftraggeber genannt und dem Bieter, der im Vergabeverfahren mit der Projektnummer 2019MRE000003 den Zuschlag erhalten hat im Folgenden Auftragnehmer genannt wird folgender Vertrag geschlossen: 1 Gegens tand, Vergütung und Bes tandteile des Vertrages 1.1 Vertrags gegens tand Gegenstand des EVB-IT Systemvertrages ist die Erstellung des nachfolgend beschriebenen Gesamtsystems, einschließlich Ausstattung der Dienststellen der Ämter für Digitalisierung, Breitband und Vermessung (ÄDBV) mit Kartenzahlungsgeräten, der Herbeiführung deren Betriebsbereitschaft* durch den Auftragnehmer auf der Grundlage eines Werkvertrages und - soweit nachfolgend vereinbart - der Systemservice und die Weiterentwicklung des Gesamtsystems. Die Leistungen zur Erstellung des Gesamtsystems bilden eine sachliche, wirtschaftliche und rechtliche Einheit. Für den Auftraggeber ist von vertragswesentlicher Bedeutung, dass der Auftragnehmer die in diesem Vertrag vereinbarte Funktionalität des Gesamtsystems herstellt und alle dafür erforderlichen Schritte vornimmt. Der Auftragnehmer ist verantwortlicher Generalunternehmer für die Erstellung des Gesamtsystems und haftet für die Leistungen seiner Subunternehmer wie für seine eigenen Leistungen. Art und Umfang der Leistungen ergeben sich aus diesem Vertrag, insbesondere aus den in Nummer 1.3 genannten Dokumenten. 22 EVB-IT Systemvertrag Seite 5 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 1.2 Vergütung Der Pauschalfestpreis* beträgt . Die einzelnen Anteile am Pauschalfestpreis* werden nachfolgend nicht gesondert ausgewiesen. Ausgenommen vom Pauschalfestpreis* sind einzelne Leistungen, die gesondert vergütet werden.1 Der Pauschalfestpreis* beträgt . Die einzelnen Anteile am Pauschalfestpreis* werden nachfolgend gesondert ausgewiesen. Ausgenommen vom Pauschalfestpreis* sind einzelne Leistungen, die gesondert vergütet werden.1 Es wird kein Pauschalfestpreis* vereinbart. Die Vergütungen werden nachfolgend gesondert ausgewiesen. Einzelheiten zur Vergütung ergeben sich aus der Vergütungszusammenstellung in Anlage Nr. 1 (Leistungsbeschreibung), Ziffer 17.8.6 dieses Vertrages sowie aus den Angaben des Auftragnehmers in der Rubrik Produkte/Leistungen. Für alle in diesem Vertrag genannten Beträge gilt einheitlich der Euro als Währung. Die vereinbarte Vergütung versteht sich zuzüglich der gesetzlichen Umsatzsteuer. 1.3 Vertrags bes tandteile* Es gelten nacheinander als Vertragsbestandteile: 1.3.1 dies er Vertrags text bes tehend aus den Seiten 1 bis 39 und den folgenden Anlagen: Anlagen zum EVB-IT Systemvertrag Anlage Nr. Bezeichnung Datum/ Version Anzahl Seiten 1 2 3 4 1 Leistungsbeschreibung (mit Anlage Dienststellen und Anlage Sicherheitsrichtlinien) 12 (4 und 31) 2 Vereinbarung zur Auftragsverarbeitung 18 3 Angebot des Bieters Es gelten die Anlagen in folgender Rangfolge: 1, 2, 3; Eine Einbeziehung von Lizenzbedingungen an Standardsoftware* erfolgt ausschließlich nach Maßgabe der Nummern 4.3.3 bzw. 4.4.3, d.h. sie gelten ausschließlich hinsichtlich der Nutzungsrechtsregelungen und insbesondere in der dort vereinbarten Rangfolge der Regelungen, unabhängig davon, ob und in welcher Rangfolge diese als Anlage in obiger Tabelle aufgelistet werden. 1 Die gesonderte Vergütung ergibt sich z.B. für den Systemservice aus Nummer 5.4.1 23 EVB-IT Systemvertrag Seite 6 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 1.3.2 die Ergänzenden Vertragsbedingungen für die Erstellung eines Gesamtsystems (EVB-IT System- AGB) in der bei Versand der Vergabeunterlagen geltenden Fassung, 1.3.3 die Allgemeinen Vertragsbedingungen für die Ausführung von Leistungen (VOL/B) in der bei Versand der Vergabeunterlagen geltenden Fassung. Die EVB-IT System-AGB stehen unter http://www.cio.bund.de und die VOL/B unter http://www.bmwi.de zur Einsichtnahme bereit bzw. können auf Verlangen des Auftragnehmers zur Verfügung gestellt werden. Soweit Allgemeine Geschäftsbedingungen im Sinne von 305 BGB in den hier referenzierten Dokumenten des Auftragnehmers bzw. den sonstigen vom Auftragnehmer beigefügten Anlagen zu diesem Vertrag Regelungen in den EVB-IT System-AGB widersprechen, sind sie ausgeschlossen, soweit nicht eine anderweitige Vereinbarung in den EVB-IT System-AGB zugelassen ist. Weitere Geschäftsbedingungen sind ausgeschlossen, soweit in diesem Vertrag nichts anderes vereinbart ist. 2 Übersicht über die vereinbarten Leistungen 2.1 Leistungen bis zur Abnahme Verkauf von Hardware Vermietung von Hardware Überlassung von Standardsoftware* gegen Einmalvergütung auf Dauer (Verkauf) Überlassung von Standardsoftware* auf Zeit (Vermietung) Erstellung und Überlassung von Individualsoftware* auf Dauer Übernahme von Altdaten und andere Migrationsleistungen Erstellung des Gesamtsystems und Herbeiführung der Betriebsbereitschaft* (z.B. durch Aufstellung, Installation*, Customizing* und Integration* der Systemkomponenten*) Schulung Projektmanagement Sonstige Leistungen: - Errichtung eines Netzservice zur Abwicklung von Zahlungen mit Debitkarte (girocard, Maestro, VPay) und Kreditkarte (MasterCard, VISA, American Express, Diners Club), durch kontaktloses Bezahlen per Karte und per Smartphone - Pilotbetrieb an einer Dienststelle gemäß Anlage Nr. 1 (Leistungsbeschreibung) - Optional: Vermietung von bis zu 10 weiteren Geräten 2.2 Leistungen nach der Abnahme Systemservice (z.B. Aufrechterhaltung und/oder Wiederherstellung der Betriebsbereitschaft*) Weiterentwicklung und Anpassung des Gesamtsystems Sonstige Leistungen - Einrichtung einer Servicehotline - Abwicklung von Zahlungen mit Debitkarte (girocard, Maestro, VPay) und Kreditkarte (MasterCard, VISA, American Express, Diners Club), durch kontaktloses Bezahlen per Karte und per Smartphone - Reporting - Optional: Lieferung von Thermopapier 24 EVB-IT Systemvertrag Seite 7 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 2.3 Vorgehensmodell Der Auftragnehmer erbringt seine Leistungen auf der Grundlage des folgenden Vorgehensmodells: V-Modell XT* V-Modell XT* (Version/Stand) . Die Teile des Projekthandbuchs (AN), die der Auftraggeber in Umsetzung seiner Vorgaben in der Ausschreibung mindestens gefordert hat, ergeben sich aus Anlage Nr. . Die Teile des QS-Handbuchs (AN), die der Auftraggeber in Umsetzung seiner Vorgaben in der Ausschreibung mindestens gefordert hat, ergeben sich aus Anlage Nr. . Organisationsspezifisches V-Modell XT* gemäß Anlage Nr. . Die Teile des Projekthandbuchs (AN), die der Auftraggeber in Umsetzung seiner Vorgaben in der Ausschreibung mindestens gefordert hat, ergeben sich aus Anlage Nr. . Die Teile des QS-Handbuchs (AN), die der Auftraggeber in Umsetzung seiner Vorgaben in der Ausschreibung mindestens gefordert hat, ergeben sich aus Anlage Nr. . Sonstiges Vorgehensmodell gemäß Anlage Nr. 1 (Leistungsbeschreibung). 3 Sys temumgebung* des Ges amts ys tems und beizus tellende Sys temkomponenten* Die Systemumgebung* des Gesamtsystems beim Auftraggeber ergibt sich aus Anlage Nr. 1 (Leistungsbeschreibung. Die beizustellenden Systemkomponenten* ergeben sich aus der nachfolgenden Tabelle: Lfd. Nr. Bezeichnung der beizustellenden Systemkomponenten* Art der beizustellenden Systemkomponenten* (HW, SW, IS, S)1 1 2 3 1 HW = Hardware, SW = Standardsoftware*, IS = Individualsoftware*, S = Sonstige Die beizustellenden Systemkomponenten* ergeben sich aus Anlage Nr. . 4 Leistungen des Auftragnehmers zur Erstellung des Gesamtsystems 4.1 Verkauf von Hardware entfällt 4.2 Vermietung von Hardware Der Auftragnehmer vermietet an den Auftraggeber die nachstehend aufgeführte Hardware. 25 EVB-IT Systemvertrag Seite 8 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Lfd. Nr. Produktbezeichnung und -beschreibung, Produkt-Nr. Menge Mindestvertragsdauer in Monaten Abw.M ietbeginn1 Mietdauer in Monaten (feste Laufzeit) Abw. Kündigungsfrist in Monaten2 Automatische Verlängerung um Anzahl Monate3 Monatlicher Mietpreis Einzelpreis pro Gerät Gesamtpreis für alle Geräte 1 2 3 4 5 6 7 8 9 10 1 Kartenzahlungsgeräte 73 Gemäß Ziffer 17.8.1 III 01.01. 2020 48 Monate4 2 Monate5 Wird ergänzt Wird ergänzt 2 Optional: Weitere Kartenzahlungsgeräte 10 Gemäß Ziffer 17.8.1 III Bis zu 48 Monate4 2 Monate5 Wird ergänzt Wird ergänzt Monatlicher Gesamtmietpreis 1 Wenn abweichend von Ziffer 16.1 EVB-IT System-AGB 2 Wenn abweichend von Ziffer 16.1.1 EVB-IT System-AGB 3 Das Mietverhältnis verlängert sich um die vereinbarten Monate, wenn es nicht mit einer Frist von drei Monaten zum Ende der Mietdauer gekündigt wird. 4 Hierbei Ausführungen zu Ziffer 17.8.1 III 1. Sonstige Vereinbarungen > Vermietung von Hardware >Vertragslaufzeit / Kündigung / Rücknahme der Geräte > Vertragslaufzeit beachten. 5 Hierbei Ausführungen zu Ziffer 17.8.1 III 2 Sonstige Vereinbarungen > Vermietung von Hardware > Vertragslaufzeit / Kündigung / Rücknahme der Geräte > Kündigung beachten. Weitere Vereinbarungen zur Kündigungsfrist abweichend von Ziffer 16.1.1 EVB-IT System-AGB gemäß Anlage Nr. . Die Vergütung für die gesamte Hardware gemäß Nummer 4.2 ist nicht im Pauschalfestpreis* enthalten. Die Vergütung für die Hardware gemäß Nummer 4.2 lfd. Nr. bis ist nicht im Pauschalfestpreis* enthalten. 26 EVB-IT Systemvertrag Seite 9 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 4.3 Überlas s ung von Standards oftware* gegen Einmalvergütung auf Dauer (Verkauf) entfällt 4.3.1 Leis tungs umfang und Vergütung Dem Auftraggeber wird vom Auftragnehmer nachstehend aufgeführte Standardsoftware* gegen Einmalvergütung auf Dauer überlassen: Lfd. Nr. Produktbezeichnung und -beschreibung, Produkt-Nr. Menge EXP1 Anzahl erlaubter Sicherungskopien Zu liefernde Version2 Abweichende Nutzungsrechte gemäß Nutzungsrechtsmatrix Anlage Nr. (Muster 4)3 Bei vereinbartem Pauschalfestpreis* lediglich im Feld Summe den Anteil daran angeben4 Einzelpreis Gesamtpreis 1 2 3 4 5 6 7 8 9 Summe 1 US = Standardsoftware* unterliegt US-amerikanischen Exportkontrollvorschriften EU = Standardsoftware* unterliegt EU-Exportkontrollvorschriften DT = Standardsoftware* unterliegt deutschen Exportkontrollvorschriften S = Standardsoftware* unterliegt Exportkontrollvorschriften 2 A = Überlassung der bei Abnahme aktuellen Version, anderenfalls Versionsnummer eintragen 3 In der hier bezeichneten Anlage erhält der Auftragnehmer im Rahmen der Vorgaben des Auftraggebers die Möglichkeit, von Ziffer 2.3 EVB-IT System-AGB abweichende Nutzungsrechte an der Standardsoftware* einzuräumen. Die Nutzungsrechtsregelungen der Lizenzbedingungen für die jeweilige Standardsoftware* gelten dann nachrangig (siehe Nummer 4.3.3). 4 Soweit in Nummer 1.2 vorgesehen, hat der Auftragnehmer den Anteil der Standardsoftware* an dem Pauschalfestpreis* anzugeben. Dies allein, um dem Auftraggeber die Bewertung des Pauschalfestpreises* zu ermöglichen. Die Vergütung für die gesamte Standardsoftware* gemäß Nummer 4.3.1 ist nicht im Pauschalfestpreis* enthalten. Die Vergütung für die Standardsoftware* gemäß Nummer 4.3.1 lfd. Nr. bis ist nicht im Pauschalfestpreis* enthalten. 27 EVB-IT Systemvertrag Seite 10 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 4.3.2 Mitteilung über Anpas s ungen der Standards oftware* auf Quellcodeebene Die Standardsoftware* aus Nummer 4.3.1 lfd. Nr. wird im Sinne von Ziffer 2.3.1.3 EVB-IT System-AGB auf Quellcodeebene angepasst. Der Auftragnehmer erklärt, dass er die Anpassungen nicht in den Standard aufnehmen wird. Der Auftragnehmer erklärt, dass er sämtliche Anpassungen in die Standardsoftware* die Anpassungen gemäß Anlage Nr. in die Standardsoftware* aufnehmen wird. Der Auftragnehmer erklärt, dass dies abweichend von Ziffer 2.3.1.3 EVB-IT System- AGB nicht mit dem auf die Erklärung der Betriebsbereitschaft* folgenden Programmstand*, sondern bis zur Abnahme des Gesamtsystems* bis zu dem in Anlage Nr. genannten Termin erfolgen wird. Näheres zu den Anpassungen und deren Übernahme in den Standard ergibt sich aus Anlage Nr. . 4.3.3 Abweichende Lizenzbedingungen Sofern abweichende Nutzungsrechte gemäß den Nutzungsrechtsmatrizen vereinbart werden, gelten bezüglich der Nutzungsrechte an der jeweiligen Standardsoftware* folgende Regelungen in der folgenden Rangfolge: Nutzungsrechtsmatrizen gemäß Muster 4 (s.a. Nummer 4.3.1, Spalte 7), Ziffer 2.3 EVB-IT System-AGB, die Nutzungsrechtsregelungen aus den jeweiligen Lizenzbedingungen in Anlage Nr. bzw. im Falle der Überlassung neuer Programmstände* im Rahmen des Systemservices aus den gemäß Nummer 5.1.3 bekanntgegebenen Nutzungsrechtsregelungen neuer Programmstände. Die jeweiligen Nutzungsrechtsregelungen gelten aber nur, soweit sie den sonstigen vertraglichen Regelungen weder entgegenstehen noch diese beschränken. 4.3.4 Bereits tellung der Standards oftware* Der Auftragnehmer stellt dem Auftraggeber die Standardsoftware* wie folgt zur Verfügung: gemäß Nummer 4.3.1 lfd. Nr. auf Datenträger: Typ: , Kennzeichnung: , gemäß Nummer 4.3.1 lfd. Nr. in folgender Form: , gemäß Nummer 4.3.1 lfd. Nr. , wie in Anlage Nr. beschrieben. 28 EVB-IT Systemvertrag Seite 11 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 4.4 Überlas s ung von Standards oftware* auf Zeit (Vermietung) 4.4.1 Leis tungs umfang und Vergütung Der Auftragnehmer vermietet an den Auftraggeber die nachstehend aufgeführte Standardsoftware*: Lfd. Nr. Produktbezeichnung und -beschrei bung, Produkt- Nr. Menge E X P1 Anzahl erlaubter Sicherungskopien Zu liefernde Version2 Abweichende Nutzungsrechte (Muster 4)3 Anlage Nr. Mindestvertragsdauer in Monaten Abw. Mietbeginn4 Mietdauer in Monaten (feste Laufzeit) Abw. Kündigungsfrist 5 Automatische Verlängerung um Anzahl Monate6 Monatlicher Mietpreis Einzelpreis Pro Gerät Gesamtpreis für alle Geräte 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1 Vgl. Ziffer 2.1.3 in der Anlage 1 73 01.0 1.20 20 48 Monate7 2 Monate7 2 Optional: Vgl. Ziffer 2.1.3 in der Anlage 1 optional: Bis zu 10 48 Monate7 2 Monate7 Monatlicher Gesamtmietpreis 1 US = Standardsoftware* unterliegt US-amerikanischen Exportkontrollvorschriften EU = Standardsoftware* unterliegt EU-Exportkontrollvorschriften DT = Standardsoftware* unterliegt deutschen Exportkontrollvorschriften S = Standardsoftware* unterliegt Exportkontrollvorschriften 2 A = Überlassung der bei Abnahme aktuellen Version, anderenfalls Versionsnummer eintragen 3 In der hier bezeichneten Anlage erhält der Auftragnehmer im Rahmen der Vorgaben des Auftraggebers die Möglichkeit, von Ziffer 2.3 EVB-IT System-AGB abweichende Nutzungsrechte an der Standardsoftware* einzuräumen. Die Nutzungsrechtsregelungen der Lizenzbedingungen für die jeweilige Standardsoftware* gelten dann nachrangig (siehe Nummer 4.4.3). 4 Wenn abweichend von Ziffer 16.1 EVB-IT System-AGB. 5 Wenn abweichend von Ziffer 16.1.1 EVB-IT System-AGB. 6 Das Mietverhältnis verlängert sich um die vereinbarten Monate, wenn es nicht mit einer Frist von drei Monaten zum Ende der Mietdauer gekündigt wird. 7 Hierbei Ausführungen zu Ziffer 17.8.2 Sonstige Vereinbarungen > Überlassung von Standardsoftware auf Zeit (Vermietung) beachten. 29 EVB-IT Systemvertrag Seite 12 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Die Vergütung für die gesamte Standardsoftware* gemäß Nummer 4.4.1 ist nicht im Pauschalfestpreis* enthalten. Die Vergütung für die Standardsoftware* gemäß Nummer 4.4.1 lfd. Nr. bis ist nicht im Pauschalfestpreis* enthalten. 4.4.2 Mitteilung über Anpas s ungen der Standards oftware* auf Quellcodeebene Die Standardsoftware* aus Nummer 4.4.1 lfd. Nr. wird im Sinne von Ziffer 2.3.1.3 EVB-IT System-AGB auf Quellcodeebene angepasst. Der Auftragnehmer erklärt, dass er die Anpassungen nicht in den Standard aufnehmen wird. Der Auftragnehmer erklärt, dass er sämtliche Anpassungen in die Standardsoftware* aufnehmen wird die Anpassungen gemäß Anlage Nr. in die Standardsoftware* aufnehmen wird. Der Auftragnehmer erklärt, dass dies abweichend von Ziffer 2.3.1.3 EVB-IT System- AGB nicht mit dem auf die Erklärung der Betriebsbereitschaft* folgenden Programmstand*, sondern bis zur Abnahme des Gesamtsystems* bis zu dem in Anlage Nr. genannten Termin erfolgen wird. Näheres zu den Anpassungen und deren Übernahme in den Standard ergibt sich aus Anlage Nr. . 4.4.3 Abweichende Lizenzbedingungen Sofern abweichende Nutzungsrechte gemäß den Nutzungsrechtsmatrizen vereinbart werden, gelten bezüglich der Nutzungsrechte an der jeweiligen Standardsoftware* folgende Regelungen in der folgenden Rangfolge: Nutzungsrechtsmatrizen gemäß Muster 4 (s.a. Nummer 4.4.1 Spalte 7), Ziffer 2.3 EVB-IT System-AGB, die Nutzungsrechtsregelungen aus den jeweiligen Lizenzbedingungen in Anlage Nr. bzw. im Falle der Überlassung neuer Programmstände* im Rahmen des Systemservices aus den gemäß Nummer 5.1.3 bekanntgegebenen Nutzungsrechtsregelungen neuer Programmstände. Die jeweiligen Nutzungsrechtsregelungen gelten aber nur, soweit sie den sonstigen vertraglichen Regelungen weder entgegenstehen noch diese beschränken. 4.4.4 Bereits tellung der Standards oftware* Der Auftragnehmer stellt dem Auftraggeber die Standardsoftware* wie folgt zur Verfügung: gemäß Nummer 4.4.1 lfd. Nr. auf Datenträger: Typ: , Kennzeichnung: , gemäß Nummer 4.4.1 lfd. Nr. in folgender Form: , gemäß Nummer 4.4.1 lfd. Nr. 1 und 2 wie in Anlage Nr. 1 (Leistungsbeschreibung) beschrieben. 30 EVB-IT Systemvertrag Seite 13 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 4.5 Erstellung und Überlassung von Individualsoftware* auf Dauer entfällt 4.6 Übernahme von Altdaten und andere Migrations leis tungen entfällt 4.7 Ers tellung des Ges amts ys tems und Herbeiführung der Betriebs bereits chaft* 4.7.1 Leis tungs umfang Der Auftragnehmer schuldet die Herbeiführung der Betriebsbereitschaft* des Gesamtsystems (Ziffer 2.4 EVB-IT System-AGB). Der Auftragnehmer schuldet die Herbeiführung der Betriebsbereitschaft* wie in Anlage Nr. 1 (Leistungsbeschreibung) beschrieben. 4.7.2 Abweichende Nutzungs rechts vereinbarungen Abweichend von Ziffer 2.4 EVB-IT System-AGB werden gem. Anlage Nr. für die dort genannten Arbeitsergebnisse die dort aufgeführten Nutzungsrechte vereinbart. Abweichend von Ziffer 2.4 EVB-IT System-AGB werden dem Auftraggeber auch für die vorbestehenden Materialien Bearbeitungsrechte eingeräumt. 4.7.3 Verg ü tung Die Herbeiführung der Betriebsbereitschaft* ist mit dem Pauschalfestpreis* abgegolten. Der Vergütungsanteil am Pauschalfestpreis* für die Herbeiführung der Betriebsbereitschaft* beträgt Euro. Die gesonderte Vergütung für die Herbeiführung der Betriebsbereitschaft* beträgt pauschal Euro. Die Vergütung für die Leistungen zur Herbeiführung der Betriebsbereitschaft* erfolgt gesondert nach Aufwand gemäß Nummer 7 mit einer Obergrenze in Höhe von Euro. Dabei ist Personal der Kategorie(n) einzusetzen. 4.8 Schulung entfällt 4.9 Dokumentation Ergänzend/abweichend von Ziffer 5.3 EVB-IT System-AGB ist die Dokumentation in folgender Sprache / in folgender Form zu erstellen: . Ergänzend/abweichend von Ziffer 5.3 EVB-IT System-AGB sind folgende Teile der Dokumentation: bis zum zu liefern. 31 EVB-IT Systemvertrag Seite 14 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Abweichend von Ziffern 4.5 und 5.5 EVB-IT System-AGB sind Anpassungen und Änderungen, die aufgrund von Maßnahmen zum Systemservice oder im Rahmen der Mängelbeseitigung an den Dokumentationen erforderlich sind, nicht in die Dokumentation einzuarbeiten, sondern als separate Dokumente zu liefern. Abweichend von Ziffer 5.4 EVB-IT System-AGB ist der Auftragnehmer nicht über das gesetzliche Maß hinaus verpflichtet, die im Rahmen der Mängelhaftung gemäß Ziffer 13 EVB-IT System-AGB durchgeführten Maßnahmen zu dokumentieren. Abweichend von Ziffer 5.6 EVB-IT System-AGB wird an den für den Auftraggeber erstellten Dokumentationen statt des nicht ausschließlichen Nutzungsrechts ein ausschließliches Nutzungsrecht gewährt. Die Dokumentation ist gemäß dem in Nummer 2.3 vereinbarten Vorgehensmodell zu erstellen. Die Anwenderdokumentation ist zusätzlich als kontextsensitive Online-Hilfe im Gesamtsystem abzulegen. Weitere Vereinbarungen zur Dokumentation gemäß Anlage Nr.1. (Leistungsbschreibung). 4.10 Sons tige Leis tungen zur Sys temers tellung 4.10.1Leis tungs umfang Der Umfang der sonstigen Leistungen zur Systemerstellung ergibt sich aus Anlage Nr. 1 (Leistungsbeschreibung) sowie aus den Regelungen unter Ziffer 17.8 dieses Vertrages. 4.10.2Vergütung Sonstige Leistungen sind mit dem Pauschalfestpreis* abgegolten, soweit sich nichts anderes aus Ziffer 17.8.7 ergibt. Der Vergütungsanteil am Pauschalfestpreis* für die sonstigen Leistungen beträgt Euro. Die gesonderte Vergütung für sonstige Leistungen beträgt pauschal Euro. Die Vergütung erfolgt gesondert nach Aufwand gemäß Nummer 7 mit einer Obergrenze in Höhe von Euro. Dabei ist Personal der Kategorie(n) einzusetzen. 5 Sys tems ervice Der Auftragnehmer verpflichtet sich im Rahmen des Systemservices zur Wiederherstellung und/oder zur Aufrechterhaltung der Betriebsbereitschaft* des Gesamtsystems und/oder zur Lieferung neuer Programmstände* nach folgenden Regelungen: 5.1 Arten von Sys tems erviceleis tungen 5.1.1 Wiederhers tellung der Betriebs bereits chaft* des Ges amts ys tems (Störungs bes eitigung) Der Auftragnehmer verpflichtet sich bei Störungen die Betriebsbereitschaft* des Gesamtsystems gemäß Ziffer 4.1 EVB-IT System-AGB wiederherzustellen. des Gesamtsystems gemäß Ziffer 4.1 EVB-IT System-AGB mit Ausnahme folgender gelieferter, erstellter oder beizustellender Systemkomponenten* aus Nummer lfd. Nr. wiederherzustellen. folgender Systemkomponenten* aus Nummer lfd. Nr. gemäß Ziffer 4.1 EVB-IT System- AGB wiederherzustellen. 32 EVB-IT Systemvertrag Seite 15 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 des Gesamtsystems gemäß Anlage Nr. 1 (Leistungsbeschreibung) wiederherzustellen. 5.1.1.1 Störungsmeldung 5.1.1.1.1 Form der Störungsmeldung Die Störungsmeldung erfolgt abweichend von Ziffer 11.3 EVB-IT System-AGB in der Regel telefonisch gemäß Anlage Nr. 1 (Leistungsbeschreibung). 5.1.1.1.2 Adres s e für Störungsmeldungen Die Störungsmeldung erfolgt an folgende Adresse: Name/Firma: Organisationseinheit/Abteilung: Postanschrift: Telefon: Fax: E-Mail: Web-Adresse: gemäß Anlage Nr. 1 (Leistungsbeschreibung). 5.1.1.2 Reaktions -* und Wiederhers tellungs zeiten*,Mängelklas s en Es werden folgende Reaktions-* und Wiederherstellungszeiten* (Ziffer 4.1.2 EVB-IT System-AGB) vereinbart: Mängelklasse Reaktionszeit* in Stunden Wiederherstellungszeit* in Stunden Betriebsverhindernder Mangel 24 Std Betriebsbehindernder Mangel 24 Std Leichter Mangel 24 Std Die Reaktions-* und Wiederherstellungszeiten* werden in Anlage Nr. für die dort abweichend von Ziffer 3 EVB-IT System-AGB definierten Mängelklassen festgelegt. Weitere Vereinbarungen (z.B. Reaktionszeiten*, Wiederherstellungszeiten*, Service Level Agreement) gemäß Anlage Nr. . Reaktions-* und Wiederherstellungszeiten* beginnen ausschließlich mit dem Zugang der Störungsmeldung während der vereinbarten Servicezeiten und laufen ausschließlich während der vereinbarten Servicezeiten. 33 EVB-IT Systemvertrag Seite 16 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Ergänzend können in Nummer 16.2 für die Nichteinhaltung der o.g. Zeiten Vertragsstrafen vereinbart werden. 5.1.1.3 Servicezeiten Es werden folgende Servicezeiten vereinbart: Tag Uhrzeit Mo bis Do von 08:00 bis 17:00 Uhr Fr bis von 08:00 bis 12:00 Uhr von bis Uhr An Sonntagen von bis Uhr An Feiertagen am Erfüllungsort von bis Uhr 5.1.1.4 Hotlin e Der Auftragnehmer gewährt eine telefonische deutschsprachige Unterstützung (Hotline) zu folgenden Zeiten: Tag Uhrzeit Mo bis Fr von 08:00 bis 17:00 Uhr bis von bis Uhr von bis Uhr An Sonntagen von bis Uhr An Feiertagen am Erfüllungsort von bis Uhr Weitere Vereinbarungen zur Hotline (z.B. Kreis der Berechtigten, Leistungsumfang) gemäß Anlage Nr. 1 (Leistungsbeschreibung). 5.1.2 Aufrechterhaltung der Betriebs bereits chaft* (vorbeugende Maßnahmen) Der Auftragnehmer verpflichtet sich angemessene Maßnahmen mit dem Ziel zu ergreifen, das Auftreten zukünftiger Störungen des Gesamtsystems des Gesamtsystems mit Ausnahme folgender gelieferter, erstellter oder beizustellenden Systemkomponenten* aus Nummer lfd. Nr. folgender Systemkomponenten* aus Nummer lfd. Nr. zu vermeiden. zu vorbeugenden Maßnahmen gemäß Anlage Nr. 1 (Leistungsbeschreibung). 5.1.3 Überlas s ung von verfügbaren Programms tänden* (Standards oftware*) Der Auftragnehmer verpflichtet sich, folgende Programmstände* für die aufgeführte Standardsoft- 34 EVB-IT Systemvertrag Seite 17 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 ware* zu überlassen, sobald sie am Markt verfügbar sind: Lfd. Nr. aus Nummer 4.3.1 Lfd. Nr. aus Nummer 4.4.1 Überlassung aller verfügbaren Programmstände* Zeitpunkt der Leistung Patches*, Updates* Upgrades* Releases/ Versionen* Auf Anforderung des Auftraggebers Unverzüglich, sobald verfügbar 1 2 3 4 5 6 7 Besondere Vereinbarung zur Herbeiführung der Betriebsbereitschaft* durch den Auftragnehmer gemäß Anlage Nr. . Besondere Vereinbarung zu Installation* und Customizing* der Programmstände* gemäß Anlage Nr. Soweit bezüglich der Nutzungsrechte der Standardsoftware* Nutzungsrechtsregelungen aus den Lizenzbedingungen in Nummer 4.3.3 bzw. 4.4.3 einbezogen sind, werden diese bei Überlassung neuer Programmstände* der jeweiligen Standardsoftware* durch die für den neuen Programmstand* geltenden Nutzungsrechtsregelungen ersetzt, wobei die in Nummer 4.3.3 bzw. 4.4.3 getroffenen Vereinbarungen auch für diese gelten. Diese neuen Nutzungsrechtsregelungen gelten aber nur, soweit die neuen Lizenzbedingungen dem Auftraggeber bei Überlassung mit Hinweis auf diese Regelung schriftlich bekannt gegeben werden. 5.2 Beginn / Dauer d er Sys tems erviceleis tungen Der Auftragnehmer verpflichtet sich, die vereinbarten Systemserviceleistungen beginnend mit dem Tag nach Ablauf der Verjährungsfrist für Sachmängelansprüche (Gewährleistungsfrist) des Gesamtsystems dem Tag nach der Abnahme des Gesamtsystems folgendem Datum 02.01.2020 jeweils für die Dauer von Monaten für die Dauer von mindestens 48 Monaten (Mindestvertragsdauer) für die in Anlage Nr. vereinbarte Dauer zu erbringen. 5.3 Kündigung von Sys tems erviceleis tungen Abweichend von Ziffer 16.1.1 EVB-IT System-AGB beträgt die Kündigungsfrist für bis zu 7 Kartenzahlungsgeräte 2 Monat(e) zum Ablauf eines Kalendermonats. (z.B. Kalendermonat/ Kalendervierteljahr/Kalenderjahr). Die Ausführungen unter Ziffer 17.8.1 III 1. und 2. gelten entsprechend. Ergänzend zu Ziffer 16.1.1 EVB-IT System-AGB wird bei vereinbarter fester Laufzeit ein Sonderkündigungsrecht des Auftraggebers gem. Anlage Nr. vereinbart. 35 EVB-IT Systemvertrag Seite 18 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 5.4 Vergütung/Zahlungs fris ten für Sys tems erviceleis tungen 5.4.1 Vergütung Der Systemservice ist (bei fester Laufzeit) insgesamt mit dem Pauschalfestpreis* abgegolten soweit sich nichts anderes aus Ziffer 17.8.7 ergibt. Der Vergütungsanteil für den Systemservice am Pauschalfestpreis* beträgt Euro2. Die gesonderte Vergütung für den Systemservice insgesamt (bei fester Laufzeit) beträgt pauschal Euro. Die gesonderte monatliche Vergütung für den Systemservice beträgt pauschal Euro. Für den Zeitraum bis zum Ablauf der Verjährungsfrist der Sachmängelansprüche für das Gesamtsystem wird eine abweichende monatliche Vergütung in Höhe von pauschal Euro vereinbart. Die Vergütung für die Systemserviceleistungen gemäß Nummer(n) (hier die relevanten Nummer( n) aus Nummer 5.1 eintragen) erfolgt gesondert nach Aufwand gemäß Nummer 7 mit einer Obergrenze in Höhe von Euro. Dabei ist Personal der Kategorie(n) einzusetzen. Die Vergütung erfolgt gemäß Anlage Nr. . 5.4.2 Zahlungs fris ten für Sys tems erviceleis tungen monatlich. Auf die Ausführungen unter Sonstige Vereinbarungen > Vergütung des Gesamtsystems unter Ziffer 17.8.7 dieses Vertrages wird hingewiesen. quartalsweise (zahlbar bis zum 15. des zweiten Quartalsmonats) jährlich (zahlbar bis zum ) einmalig zum gemäß Anlage Nr. 5.5 Sons tige Regelungen zu Sys tems erviceleis tungen 5.5.1 Teles ervice* Der Auftragnehmer erbringt Teile der Leistung mittels Teleservice* entsprechend der Teleservicevereinbarung gemäß Anlage Nr. . 5.5.2 Abnahme der Sys tems erviceleis tungen Abweichend von Ziffer 4.3 EVB-IT System-AGB vereinbaren die Parteien eine Abnahme bestimmter Systemserviceleistungen gemäß Anlage Nr. . 5.5.3 Dokumentation der Sys tems erviceleis tungen Abweichend von Ziffer 4.5 Satz 1 EVB-IT System-AGB ist der Auftragnehmer in dem in Anlage Nr. aufgeführten Umfang verpflichtet, die im Rahmen des Systemservices durchgeführten Maßnahmen zu dokumentieren. 6 Weitere Leis tungen nach der Abnahme 6.1 Weiterentwicklung und Anpas s ung des Ges amts ys tems nach der Abnahme Der Auftragnehmer verpflichtet sich, das Gesamtsystem jeweils nach den Vereinbarungen in Anlage Nr. 1 (Leistungsbeschreibung) weiterzuentwickeln, zu optimieren und an die sich ändernden Bedürfnisse des Auftraggebers anzupassen. Soweit in der Anlage nichts anderes geregelt ist, erfolgt 2 Der Auftragnehmer hat den Anteil des Systemservices an dem Pauschalfestpreis* anzugeben, selbst wenn in Nummer 1.2 keine gesonderte Ausweisung von Preisanteilen vorgesehen ist. Dies allein, um die Berechnung der Haftungsobergrenze gemäß Ziffer 15.2 EVB-IT System-AGB und - bei Vereinbarung einer gesonderten Ausweisung - eine Bewertung des Pauschalfestpreises* zu ermöglichen. 36 EVB-IT Systemvertrag Seite 19 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 die Beauftragung entsprechend den Konditionen dieses Vertrages und der einbezogenen EVB-IT System-AGB. 6.2 Sons tige Leis tungen nach der Abnahme 6.2.1 Leis tungs umfang Der Umfang der sonstigen Leistungen nach der Abnahme ergibt sich aus Anlage Nr.1 (Leistungsbeschreibung) sowie aus den Sonstigen Vereinbarungen unter Ziffer 17.8 dieses Vertrages. 6.2.2 Vergütung Die sonstigen Leistungen nach der Abnahme sind mit dem Pauschalfestpreis* abgegolten, es sei denn, es ist etwas anderes unter Sonstige Vereinbarungen > Vergütung des Gesamtsystems Ziffer 17.8.7 dieses Vertrages geregelt. Der Vergütungsanteil am Pauschalfestpreis* für sonstige Leistungen nach der Abnahme beträgt Euro. Die sonstigen Leistungen nach der Abnahme sind mit der pauschalen Vergütung für Systemserviceleistungen gemäß Nummer 5.4.1 abgegolten. Die gesonderte Vergütung für sonstige Leistungen nach der Abnahme beträgt pauschal Euro. Die Vergütung erfolgt gesondert nach Aufwand gemäß Nummer 7 mit einer Obergrenze in Höhe von Euro. Dabei ist Personal der Kategorie(n) einzusetzen. 7 Ergänzende Vereinbarungen bei Vergütung nach Aufwand entfällt 7.1 Vereinbarung der Preis kategorien bei Vergütung nach Aufwand Lfd. Nr. Bezeichnung der Personalkategorie Preis innerhalb der Zeiten gemäß Nummer 7.2.1 Preis innerhalb der Zeiten gemäß Nummer 7.2.2 Preis innerhalb der Zeiten gemäß Nummer 7.2.3 je Stunde je Tag je Stunde je Tag je Stunde je Tag 1 2 3 4 5 6 7 8 Kategorie 1 Kategorie 2 Kategorie 3 Kategorie 4 Kategorie 5 7.2 Zeiten der Leis tungs erbringung bei Vergütung nach Aufwand Die Leistungen des Auftragnehmers werden erbracht: 7.2.1 Während der Ges chäfts zeiten an Werktagen (außer an Sams tagen und Feiertagen am Erfüllungs ort) 37 EVB-IT Systemvertrag Seite 20 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Wochentag Uhrzeit bis von bis Uhr bis von bis Uhr von bis Uhr 7.2.2 Außerhalb der Ges chäfts zeiten an Werktagen (außer an Sams tagen und Feiertagen am Erfüllungs ort) Wochentag Uhrzeit bis von bis Uhr bis von bis Uhr von bis Uhr 7.2.3 Während s ons tiger Zeiten Wochentag Uhrzeit Samstag von bis Uhr Sonntag von bis Uhr Feiertag am Erfüllungsort von bis Uhr Weitere Vereinbarungen gemäß Anlage Nr. . 7.3 Abweichende Regelungen für d ie Bes timmung und Vergütung von Pers onentages s ätzen Abweichend von Ziffer 8.5 Satz 1 EVB-IT System-AGB können bei entsprechendem Nachweis für einen Personentag bis zu 10 Stunden abgerechnet werden. Abweichend von Ziffer 8.5 Satz 2 und Satz 3 EVB-IT System-AGB wird Folgendes vereinbart: Ein voller Tagessatz kann nur in Rechnung gestellt werden, wenn mindestens 10 Zeitstunden geleistet wurden. Werden weniger als 10 Zeitstunden pro Tag geleistet, sind diese anteilig in Rechnung zu stellen. Weitere Vereinbarungen gemäß Anlage Nr. . 7.4 Reis ekos ten, Nebenkos ten*, Materialkos ten und Reis ezeiten 7.4.1 Reis ekos ten, Nebenkos ten* und Materialkos ten Reisekosten werden nicht gesondert vergütet. Reisekosten werden vergütet gemäß Anlage Nr. . Nebenkosten* werden nicht gesondert vergütet. Nebenkosten* werden vergütet gemäß Anlage Nr. . Materialkosten werden nicht gesondert vergütet. 38 EVB-IT Systemvertrag Seite 21 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Materialkosten werden vergütet gemäß Anlage Nr. . 7.4.2 Reis ezeiten Reisezeiten werden nicht gesondert vergütet. Reisezeiten werden zu 50 % als Arbeitszeiten vergütet. Reisezeiten werden vergütet gemäß Anlage Nr. . 7.5 Bes ondere Bes timmungen zur Vergütung nach Aufwand Besondere Bestimmungen zur Vergütung nach Aufwand sind in Anlage Nr. vereinbart. 7.6 Preis anpas s ung für Sys tems erviceleis tungen, d ie nicht im Paus chalfes tpreis * enthalten s ind Gemäß Ziffer 8.6 EVB-IT System-AGB wird eine Preisanpassung vereinbart für Systemserviceleistungen gemäß Nummer(n) (hier entsprechende Nummer(n) eintragen: 5.1.1, 5.1.2 oder/und 5.1.3). Abweichend von Ziffer 8.6 EVB-IT System-AGB wird eine Preisanpassung für Systemserviceleistungen nach Maßgabe der Anlage Nr. vereinbart. 8 Termin- und Leistungsplan Der Termin- und Leistungsplan ergibt sich aus folgender Tabelle: Lfd. Nr. Bezeichnung der zu erbringenden Leistung Art des Termins MS1, BB2, BBTA3, TA4, VE5 Leistungszeit (Datum oder Zeitpunkt nach Zuschlagserteilung) Leistungsort (einschließlich Anschrift) Bemerkungen 1 2 3 4 5 6 1 MS = Meilenstein 2 BB = Termin der Betriebsbereitschaftserklärung 3 BBTA = Termin der Betriebsbereitschaftserklärung zur Teilabnahme 4 TA = Teilabnahmetermin 5 VE = Vertragserfüllungstermin* Gemäß dem in Nummer 2.3 vereinbarten Vorgehensmodell V-Modell XT* bzw. dem vereinbarten organisationsspezifischen V-Modell XT* ergibt sich der Termin- und Leistungsplan aus dem Lastenheft gemäß Anlage Nr. und den Teilen des Projekthandbuchs (AN), die der Auftraggeber in Umsetzung seiner Vorgaben in der Ausschreibung mindestens gefordert hat gemäß Anlage Nr. . Der Termin- und Leistungsplan ergibt sich aus Anlage Nr. 1 (Leistungsbeschreibung). 39 EVB-IT Systemvertrag Seite 22 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 9 Zahlungsplan Der Auftraggeber leistet zum (Datum) eine Vorauszahlung in Höhe von Euro Zug um Zug gegen Übergabe einer Vorauszahlungsbürgschaft in gleicher Höhe gemäß Ziffer 20.1.1 EVB-IT System-AGB. Der Zahlungsplan ergibt sich aus folgender Tabelle: Termin gemäß Nummer 8, lfd. Nr. Art der Zahlung AZ1, TZ2, SZ3 Betrag Bemerkungen 1 2 3 4 1 AZ = Abschlagszahlung* 2 TZ = Teilzahlung. Diese setzt eine erfolgreiche Teilabnahme voraus, gilt anderenfalls als AZ. 3 SZ = Schlusszahlung Der Zahlungsplan ergibt sich aus Sonstige Vereinbarungen > Vergütung des Gesamtsystems Ziffer 17.8.7 dieses Vertrages 40 EVB-IT Systemvertrag Seite 23 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 10 Projektmanagement 10.1 Ansprechpartner des Auftragnehmers (Schlüs s elpos itionen): Gesamtprojektverantwortlicher Projektmanager für die Erstellung des Gesamtsystems Gesamtprojektverantwortlicher Projektleiter als Ansprechpartner Name: Position: Organisationseinheit/Abteilung: Telefon: Fax: E-Mail: Postanschrift: des Auftraggebers: Fachlicher Ansprechpartner Rechtlicher Ansprechpartner Name: Johannes Eisentraut Felix Porth Position: Leiter Referat 52 Leiter Beschaffungsstelle Organisationseinheit/Abteilung: LDBV, Abteilung 5 LDBV, Abteilung 1 Telefon: 089 2129 1211 089 2129 1347 Fax: 089 2129 21211 089 2129 21347 E-Mail: johannes.eisentraut@ ldbv.bayern.de felix.porth@ldbv.bayern.de Postanschrift: Alexandrastraße 4, 80538 München Alexandrastraße 4, 80538 München 41 EVB-IT Systemvertrag Seite 24 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 10.2 Weitere Schlüsselpositionen des Auftragnehmers Die Parteien definieren gemäß Ziffer 7.4 EVB-IT System-AGB folgende weitere Schlüsselpositionen auf Seiten des Auftragnehmers und deren Besetzung: Lfd. Nr. Schlüsselposition Name Kontaktdaten 1 2 3 4 10.3 Projektsteuerung/Projektkoordinierung Die Regeln zur Projektsteuerung und Projektkoordinierung ergeben sich aus dem vereinbarten Vorgehensmodell gemäß Nummer 2.3. folgenden Vereinbarungen gemäß Anlage Nr. . 10.4 Behandlung von Änderungsverlangen (Change Requests) Ergänzend/abweichend zu Ziffer 17 EVB-IT System-AGB sind die Vereinbarungen über die Behandlung von Änderungsverlangen (Change Requests), die während der Vertragsdauer vom Auftraggeber vorgebracht werden, festgelegt: in dem vereinbarten Vorgehensmodell gemäß Nummer 2.3. in Anlage Nr. . 11 Weitere Pflichten des Auftragnehmers Der Auftragnehmer hat folgende weitere Pflichten: 11.1 Bes ondere Anforderungen an Mitarbeiter des Auftragnehmers Mindestanforderungen an das einzusetzende Personal des Auftragnehmers: Lfd. Nr. Position Fachliche Qualifikation Sicherheitsüberprüfung SÜ 1, 2 oder 31 Sonstige Anforderungen, z.B. weitere Sicherheitsanforderungen 1 2 3 4 5 1 Stufen der Sicherheitsüberprüfung gemäß Sicherheitsüberprüfungsgesetz 42 EVB-IT Systemvertrag Seite 25 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Mindestanforderungen an das einzusetzende Personal des Auftragnehmers ergeben sich aus Anlage Nr. . 11.2 Allgemeine Sicherheits anforderungen Der Auftragnehmer verpflichtet sich, für die Laufzeit des Vertrages: bei der Erbringung der vertraglichen Leistungen die Regelungen zur IT-Sicherheit gemäß Anlage Sicherheitsrichtlinien zu beachten; sich der Geheimschutzbetreuung gemäß Anlage Nr. zu unterstellen; die Regelungen des Auftraggebers zur Sicherheit am Einsatzort gemäß Anlage Nr. zu beachten; folgende weitere Regelungen einzuhalten: - Vorgaben der Deutschen Kreditwirtschaft - Vorgaben des Payment Card Industry Security Standards Council - Datenschutzvereinbarung (Anlage 2). 11.3 Kopier- oder Nutzungssperre* Die vom Auftragnehmer gelieferten oder erstellten Systemkomponenten* weisen keine Kopier- oder Nutzungssperren* auf. Die vom Auftragnehmer gelieferten oder erstellten Systemkomponenten* weisen folgende Kopieroder Nutzungssperren* auf: . Näheres siehe Anlage Nr. . 11.4 Mitteilungspflicht bezüglich der zur Vertragserfüllung eingesetzten Werkzeuge* Der Auftragnehmer teilt dem Auftraggeber mit, dass er folgende Werkzeuge* für die Erstellung der Individualsoftware*, die für die Bearbeitung und Umgestaltung der Individualsoftware* notwendig sind, verwenden wird: . Näheres siehe Anlage Nr. . entwickeln wird: . Näheres siehe Anlage Nr. . In Ergänzung zu Ziffer 6.4 der EVB-IT System-AGB erstreckt sich die Mitteilungspflicht des Auftragnehmers auch auf die für die Erstellung des Gesamtsystems insgesamt eingesetzten Werkzeuge*. 11.5 Entsorgung der Hardware (ergänzend zu Ziffer 2.1 EVB-IT System-AGB) Ergänzend zu Ziffer 2.1 EVB-IT System-AGB und den entsprechenden gesetzlichen Regelungen gelten die in Anlage Nr. aufgeführten zusätzlichen Vereinbarungen über die Entsorgung von in Nummer 4.1 genannter Hardware. Der Auftragnehmer übernimmt die Entsorgung auch von nicht in Nummer 4.1. genannter Hardware (Altgeräte), insbesondere defekter Geräte aufgrund gesonderter Vereinbarung gemäß Anlage Nr. 1 (Leistungsbeschreibung). 11.6 Entsorgung der Verpackung Ergänzende Vereinbarung zur Entsorgung der Verpackung durch den Auftragnehmer gemäß Anlage Nr. . Die Entsorgung der Verpackung erfolgt durch den Auftraggeber (abweichend von Ziffern 2.1 und 2.2 EVB-IT System-AGB). 12 Mitwirkung des Auftraggebers Dem Auftraggeber obliegt folgende Mitwirkung (z.B. Infrastruktur, Organisation, Personal, Technik, Dokumente): 43 EVB-IT Systemvertrag Seite 26 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Lfd. Nr. Art der Mitwirkung Erläuterungen (z.B. fachliche Qualifikation des Personals, das Mitwirkungsleistungen erbringt) max. Aufwand Termin/ Zeitraum Ort 1 2 3 4 5 6 Gemäß dem in Nummer 2.3 vereinbarten Vorgehensmodell V-Modell XT* bzw. dem vereinbarten organisationsspezifischen V-Modell XT* ergibt sich die Mitwirkung des Auftraggebers aus dem Lastenheft gemäß Anlage Nr. und dem Teil Mitwirkung und Beistellungen des Auftraggebers des Projekthandbuchs (AN) gemäß Anlage Nr. . Die Mitwirkung des Auftraggebers ergibt sich aus Anlage Nr.1 (Leistungsbeschreibung) und sowie aus den Sonstigen Vereinbarungen unter Ziffer 17.8 dieses Vertrages. 13 Abnahme 13.1 Gegenstand der Abnahme Der Abnahmegegenstand ist das Gesamtsystem im Sinne dieses Vertrages und, soweit in Nummer 8 vereinbart, die einer Teilabnahme unterliegenden, in sich abgeschlossenen und funktional nutzbaren Teile des Gesamtsystems. Ergänzende Vereinbarungen zum Gegenstand der Abnahme gemäß Anlage Nr. . Das Gesamtsystem beinhaltet jeweils die aktuellste Version der vereinbarten Software* zum Zeitpunkt des Beginns der Erklärung der Betriebsbereitschaft*. 13.2 Testdaten Die Testdaten erstellt der Auftraggeber. Einzelheiten gemäß Anlage Nr. . Die Testdaten erstellt der Auftragnehmer. Einzelheiten gemäß Anlage Nr. . 13.3 Dauer, Ort und Systemumgebung* der Funktionsprüfung Dauer der Funktionsprüfungszeit (abweichend von der 30tägigen Frist in Ziffer 12.3 Satz 1 EVB-IT System-AGB): . Dauer der Funktionsprüfungszeit für teilabzunehmende Leistungen (abweichend von der 14tägigen Frist in Ziffer 12.3 Satz 2 EVB-IT System-AGB): . Ort der Funktionsprüfung (abweichend von Ziffer 12.4 EVB-IT System-AGB): . Ort der Funktionsprüfung für teilabzunehmende Leistungen (abweichend von Ziffer 12.4 EVB-IT System-AGB): . Ort und Dauer der Funktionsprüfung(en) ergeben sich aus Anlage Nr. (abweichend von Ziffern 12.3 und 12.4 EVB-IT System-AGB). Abweichend von Ziffer 12.6 EVB-IT System-AGB beträgt der Zeitrahmen für erneute Funktionsprüfungen statt 14 Tagen jeweils . Die Durchführung der Funktionsprüfung erfolgt abweichend von Ziffer 12.4 EVB-IT System-AGB nicht in der in Nummer 3 genannten, sondern in folgender Systemumgebung*: . Pilotbetrieb an einer Dienststelle gemäß Anlage Nr. 1 (Leistungsbeschreibung) 44 EVB-IT Systemvertrag Seite 27 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 13.4 Vereinbarungen zur Durchführung der Funktionsprüfung und zur Erklärung der Abnahme Gemäß dem in Nummer 2.3 vereinbarten Vorgehensmodell V-Modell XT* ergeben sich die Regelungen zur Durchführung der Funktionsprüfung und der Abnahme aus dem Lastenheft gemäß Anlage Nr. und den Teilen des Projektplans (AN), die der Auftraggeber in Umsetzung seiner Vorgaben in der Ausschreibung mindestens gefordert hat gemäß Anlage Nr. . Die Regelungen zur Durchführung der Funktionsprüfung und der Abnahme ergeben sich aus Anlage Nr. (abweichend von Ziffer 12 EVB-IT System-AGB). 13.5 Vereinbarungen zu Mängelklassen im Rahmen der Funktionsprüfung Abweichend von Ziffer 3 EVB-IT System-AGB werden in Anlage Nr. die dort genannten Mängelklassen vereinbart. Abweichend von Ziffer 12 EVB-IT System-AGB werden die Auswirkungen der bei der Funktionsprüfung gefundenen Mängel in Anlage Nr. vereinbart. 14 Mängelhaftung (Gewährleis tung) 14.1 Verjährungs fris t (Gewährleis tungs fris t) für Mängel des Ges amts ys tems Es gilt Ziffer 13.3 EVB-IT System-AGB mit der Maßgabe, dass für Sachmängel und Rechtsmängel, die nicht Rechtsmängel der Individualsoftware* sind, die Verjährungsfrist statt 24 Monate Monate beträgt. Es gilt Ziffer 13.3 EVB-IT System-AGB mit der Maßgabe, dass für Rechtsmängel der Individualsoftware* die Verjährungsfrist statt 36 Monate Monate beträgt. Anstelle der in Ziffer 13.3 EVB-IT System-AGB geregelten zwölfmonatigen Frist für den Rücktritt bezogen auf die Standardsoftware* tritt eine monatige Frist. Es gilt Ziffer 13.3 EVB-IT System-AGB mit der Maßgabe, dass die für Rechtsmängel an Individualsoftware* vereinbarte Verjährungsfrist für Rechtsmängel an folgenden vereinbarten Systemkomponenten* gilt. Die Verjährungsfristen für Sach- und Rechtsmängel ergeben sich aus Anlage Nr. . 14.2 Verjährungs fris t (Gewährleis tungs fris t) für Mängel an Teilleis tungen Abweichend von Ziffer 13.4 EVB-IT System-AGB endet die Verjährungsfrist für Mängel an Teilleistungen nicht zwei Jahre nach der Teilabnahme und frühestens neun Monate nach der Gesamtabnahme, sondern gemäß Anlage Nr. . 14.3 Mängelmeldungen 14.3.1Form der Mängelmeldung Abweichend von Ziffer 11.3 EVB-IT System-AGB erfolgt die Mängelmeldung telefonisch gemäß Anlage Nr. 1 (Leistungsbeschreibung). 45 EVB-IT Systemvertrag Seite 28 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 14.3.2Adres s e für Mängelmeldungen Die Mängelmeldung erfolgt: an folgende Adresse: Name/Firma: Organisationseinheit/Abteilung: Postanschrift: Telefon: Fax: E-Mail: Web-Adresse: gemäß Anlage Nr. . 14.4 Reaktions -* und Wiederhers tellungs zeiten*, Servicezeiten, Hotline 14.4.1Reaktions -* und Wiederhers tellungs zeiten*, Mängelklas s en Für die Zeit bis zur Verjährung der Mängelansprüche (Gewährleistungsfrist) werden folgende Reaktions-* und Wiederherstellungszeiten* vereinbart: Mängelklasse Reaktionszeit* in Stunden Wiederherstellungszeit* in Stunden Betriebsverhindernder Mangel 24 Std Betriebsbehindernder Mangel 24 Std Leichter Mangel 24 Std Reaktions-* und Wiederherstellungszeiten* beginnen ausschließlich mit dem Zugang der Mängelmeldung während der Servicezeiten und laufen ausschließlich während der vereinbarten Servicezeiten. Ergänzend können in Nummer 16.2 für die Nichteinhaltung der o.g. Zeiten Vertragsstrafen vereinbart werden. Die Reaktions-* und Wiederherstellungszeiten* werden in Anlage Nr. für die dort abweichend von Ziffer 3 EVB-IT System-AGB definierten Mängelklassen festgelegt. 46 EVB-IT Systemvertrag Seite 29 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 14.4.2Servicezeiten Es werden folgende Servicezeiten vereinbart: Tag Uhrzeit Mo bis Do von 8:00 bis 17:00 Uhr Fr bis von 8:00 bis 12:00 Uhr von bis Uhr An Sonntagen von bis Uhr An Feiertagen am Erfüllungsort von bis Uhr 14.4.3Hotlin e Der Auftragnehmer gewährt eine telefonische deutschsprachige Unterstützung (Hotline) zu folgenden Zeiten: Tag Uhrzeit Mo bis Fr von 8:00 bis 17:00 Uhr bis von bis Uhr von bis Uhr An Sonntagen von bis Uhr An Feiertagen am Erfüllungsort von bis Uhr Weitere Vereinbarungen zur Hotline (Leistungsumfang) gemäß Anlage Nr. . 14.5 Teles ervice* Der Auftragnehmer erbringt Teile der Leistung mittels Teleservice* entsprechend der Teleservicevereinbarung gemäß Anlage Nr. . 14.6 Weitere Vereinbarungen zur Mängelhaftung Der Ausschluss der Rechtsmängelhaftung wegen Patentverletzungen, die Dritte gegen den Auftraggeber wegen einer Nutzung außerhalb von EU und EFTA geltend machen (Ziffer 13.6 EVB-IT System- AGB), gilt nicht. Weitere Vereinbarungen gemäß Anlage Nr. . 47 EVB-IT Systemvertrag Seite 30 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 15 Haftungs regelungen 15.1 Haftungs obergrenze b ei leicht fahrläs s iger Pflichtverletzung Abweichend von Ziffer 15.1 EVB-IT System-AGB beträgt die Haftungsobergrenze für leicht fahrlässige Pflichtverletzungen insgesamt für diesen Vertrag Euro. Abweichend von Ziffer 15.1 EVB-IT System-AGB gelten für die Haftung bei leicht fahrlässigen Pflichtverletzungen die Regelungen gemäß Anlage Nr. . 15.2 Haftung bei Verzug Abweichend von Ziffer 15.1 EVB-IT System-AGB beträgt die Haftungsobergrenze für Verzug bei leichter Fahrlässigkeit insgesamt für diesen Vertrag 50 % des Auftragswertes*. Abweichend von Ziffer 15.1 EVB-IT System-AGB gelten für die Haftung für Verzug bei leichter Fahrlässigkeit die Regelungen gemäß Anlage Nr. . 15.3 Haftung für den Sys tems ervice Abweichend von Ziffer 15.2 EVB-IT System-AGB beträgt die Haftungsobergrenze für leicht fahrlässige Pflichtverletzungen beim Systemservice insgesamt Euro pro Vertragsjahr. Abweichend von Ziffer 15.2 EVB-IT System-AGB beträgt die Haftungsobergrenze für leicht fahrlässige Pflichtverletzungen beim Systemservice insgesamt für diesen Vertrag Euro. Abweichend von Ziffer 15.2 EVB-IT System-AGB beträgt die Haftungsobergrenze für leicht fahrlässige Pflichtverletzungen beim Systemservice minimal das fache (statt des Doppelten) maximal das fache (statt des Vierfachen) der Vergütung, die für das erste Vertragsjahr des Systemservices zu zahlen ist. Ziffer 15.2 letzter Satz EVB-IT System-AGB bleibt unberührt. 15.4 Haftung für entgangenen Gewinn Abweichend von Ziffer 15.5 EVB-IT System-AGB haftet der Auftragnehmer auch für entgangenen Gewinn. 16 Vertrags s trafen bei Verzug 16.1 Verzug bei Ers tellung des Gesamts ys tems Abweichend von Ziffer 9.3 EVB-IT System-AGB gilt die dort aufgeführte Vertragsstrafe auch bei Überschreitung der für die einzelnen Meilensteine im Termin- und Leistungsplan gemäß Nummer 8 festgelegten Termine. Die Summe der vorstehenden Vertragsstrafen ist auf den in Ziffer 9.3 EVB-IT System-AGB festgelegten Höchstbetrag anzurechnen. Abweichend von Ziffer 9.3 EVB-IT System-AGB gilt die dort aufgeführte Vertragsstrafe nicht bei Überschreitung der für die Teilabnahmen gemäß Nummer 8 festgelegten Termine. Abweichend von Ziffer 9.3 EVB-IT System-AGB wird bei Verzug der Leistung die Vertragsstrafenregelung gemäß Anlage Nr. vereinbart. 48 EVB-IT Systemvertrag Seite 31 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 16.2 Verzug bei Reaktions -* und Wiederhers tellungs zeiten* Zusätzlich zur Vertragsstrafe gemäß Ziffer 9.3 EVB-IT System-AGB werden in Anlage Nr. Vertragsstrafen für die Nichteinhaltung der in Nummer 5.1.1.2 geregelten Reaktions-* und Wiederherstellungszeiten* zur Wiederherstellung der Betriebsbereitschaft* nach der Abnahme des Gesamtsystems vereinbart. Zusätzlich zur Vertragsstrafe gemäß Ziffer 9.3 EVB-IT System-AGB werden in Anlage Nr. Vertragsstrafen für die Nichteinhaltung der in Nummer 14.4.1 geregelten Reaktions-* und Wiederherstellungszeiten* im Rahmen der Mängelhaftung (Gewährleistung) vereinbart. 17 Weitere Vereinbarungen 17.1 Garantien 17.1.1Auftragnehmergarantien Der Auftragnehmer übernimmt zusätzlich zu der in diesem Vertrag (Nummer 14 und Ziffer 13 EVB-IT System-AGB) vereinbarten Mängelhaftung eine Haltbarkeitsgarantie, deren Konkretisierung und/oder Begrenzung, z.B. des Inhalts oder der Rechtsfolgen in der Anlage Nr. erfolgt. Der Auftragnehmer übernimmt zusätzlich zu der in diesem Vertrag vereinbarten Mängelhaftung (Nummer 14 und Ziffern 13, 14 EVB-IT System-AGB) eine Beschaffenheitsgarantie, deren Konkretisierung und/oder Begrenzung, z.B. des Inhalts oder der Rechtsfolgen in Anlage Nr. erfolgt. 17.1.2Hers tellergarantien Der Auftragnehmer erklärt, dass die Hersteller der folgenden Systemkomponenten* folgende Haltbarkeitsgarantien übernehmen: Lfd. Nr. der betroffenen Systemkomponente* gemäß Nummer 4 Garantiebeginn Dauer der Garantie in Monaten Name des Herstellers Umfang der Leistung im Garantiefall (z.B. VOS/BIS1) 1 2 3 4 5 1 VOS = Vorortservice (am Erfüllungsort) BIS = Bring-In-Service (zum Auftragnehmer auf dessen Kosten) Weitere Vereinbarungen (Konkretisierung und/oder Begrenzung z.B. des Inhalts oder der Rechtsfolgen) zur Haltbarkeitsgarantie und/oder Beschaffenheitsgarantie des Herstellers gemäß Anlage Nr. 17.2 Übergabe bzw. Hinterlegung des Quellcodes * entfällt 17.3 Haftpflichtvers icherung Der Nachweis einer Haftpflichtversicherung gemäß Ziffer 19.1 EVB-IT System-AGB wird vereinbart. 49 EVB-IT Systemvertrag Seite 32 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 17.4 Sicherheiten 17.4.1 Vorauszahlungsbürgschaft Die Übergabe einer Vorauszahlungsbürgschaft gemäß Ziffer 20.1.1 EVB-IT System-AGB wird vereinbart. Abweichend von Ziffer 20.1.1 EVB-IT System-AGB beträgt die Höhe der Vorauszahlungsbürgschaft statt 100% der Vorauszahlung Euro (Hinweis: wenn niedriger als 100% der Vorauszahlung, haushaltsrechtlich i.d.R. nicht zulässig). 17.4.2 Vertragserfüllungs- oder Mängelhaftungssicherheit Es werden für die Vertragserfüllung folgende Vertragserfüllungs- oder Mängelhaftungssicherheiten vereinbart: Vertragserfüllung Es wird die Leistung einer Sicherheit für die Vertragserfüllung durch Hinterlegung von Geld auf einem Sperrkonto oder Übergabe einer Vertragserfüllungsbürgschaft gemäß Ziffer 20.1.2 EVB-IT System- AGB vereinbart. Höhe der Sicherheit: Abweichend von Ziffer 20.1.2 EVB-IT System-AGB beträgt die Höhe der Sicherheit % des Erstellungspreises*. Abweichend von Ziffer 20.1.2 EVB-IT System-AGB wird die teilweise Rückgabe der Sicherheit nach Teilabnahmen gemäß Anlage Nr. geregelt. Der Auftraggeber kann eine Anpassung der Sicherheit gemäß Ziffer 20.1.2 EVB-IT System-AGB verlangen. Mängelhaftung (Gewährleistung) Es wird die Leistung einer Sicherheit für die Mängelhaftung durch Hinterlegung von Geld auf einem Sperrkonto oder Übergabe einer Mängelhaftungsbürgschaft gemäß Ziffer 20.1.3 EVB-IT System- AGB vereinbart. Höhe der Sicherheit: Abweichend von Ziffer 20.1.3 EVB-IT System-AGB beträgt die Höhe der Sicherheit % des Auftragswertes*. ODER 17.4.3 Kombinierte Vertragserfüllungs- oder Mängelhaftungssicherheit Es wird die Leistung einer Sicherheit für die Vertragserfüllung und Mängelhaftung durch Hinterlegung von Geld auf einem Sperrkonto oder Übergabe einer Vertragserfüllungs- und Mängelhaftungsbürgschaft gemäß Ziffer 20.1.4 EVB-IT System-AGB vereinbart. kombinierte Vertragserfüllungs- und Mängelhaftungssicherheit Höhe der Sicherheit: Abweichend von Ziffer 20.1.4 EVB-IT System-AGB beträgt die Höhe der Sicherheit für die Vertragserfüllung % des Erstellungspreises* und für die Mängelhaftung % des Erstellungspreises*. Der Auftraggeber kann eine Anpassung der Sicherheit gemäß Ziffer 20.1.4 EVB-IT System-AGB verlangen. 50 EVB-IT Systemvertrag Seite 33 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 17.5 Datens chutz, Geheimhaltung und Sicherheit Ergänzend zu bzw. abweichend von Ziffer 21 EVB-IT System-AGB ergeben sich Regelungen zur Geheimhaltung bzw. zur Sicherheit aus Anlage Nr. 2 (Vereinbarung zur Auftragsverarbeitung) sowie aus den Sonstigen Vereinbarungen > Datenschutzvereinbarung unter Ziffer 17.8.13 dieses Vertrages. Zur Zahlungsabwicklung werden im Rahmen der Auftragsverarbeitung Karten- und Kontodaten (je nach Zahlungsart: u.a. Karteninhaber, IBAN bzw. Kartennummer, Prüfnummer, Kartengültigkeit, Kartentyp) und Zahlungsdaten (u.a. Betrag, Datum, Uhrzeit, Kennung, Verwendungszweck) gespeichert. Da durch den Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet werden sollen (Auftragsdatenverarbeitung), treffen die Parteien in Anlage Nr. eine schriftliche Vereinbarung, die zumindest die gesetzlichen Mindestanforderungen beinhaltet (z.B. gemäß 11 Absatz 2 BDSG). Die Parteien treffen sonstige Vereinbarungen zum Datenschutz gemäß Anlage Nr. . 17.6 Vereinbarungen zur Korruptions prävention Der Auftragnehmer verpflichtet sich für die Laufzeit des Vertrages die in Anlage Nr. aufgeführten Vorschriften zur Korruptionsprävention in der öffentlichen Verwaltung zu beachten. folgende weitere Regelungen einzuhalten: Sonstige Vereinbarungen > Korruptionsprävention und pauschalisierter Schadensersatz unter Ziffer 17.8.14 dieses Vertrages. 17.7 Kündigungsrecht des Auftraggebers Abweichend von den gesetzlichen Regelungen und Ziffer 16.2 EVB-IT System-AGB ergeben sich die Ansprüche des Auftragnehmers bei einer Kündigung des Auftraggebers gemäß 649 BGB aus Anlage Nr. . 17.8 Sons tige Vereinbarungen Sonstige Vereinbarungen: 17.8.1Vermietung von Hardware Ergänzend zu Ziffer 4.2 gilt: I. Lieferung / Lieferfrist / Mitteilung der Seriennummer / Vertragsstrafe bei verspäteter Übermittlung 1. Alle Kartenzahlungsgeräte (Geräte) eines Abrufs werden als baugleiche und identische Geräte geliefert. Sie sind fabrikneu und entsprechen den Vorgaben der Anlagen 1 (Leistungsbeschreibung). 2. Die Auslieferung der 73 konfigurierten, betriebsbereiten Geräte erfolgt zeitnah nach erfolgreichem Pilotbetrieb und Abnahme durch den Auftraggeber an die jeweilige Dienststelle (73 Dienststellen der ÄDBV in Bayern, Adressen siehe Anlage Dienststellen), um den Einsatz der Kartenzahlungsgeräte und den Abrechnungsstart zum 02.01.2020 sicherzustellen. Werden die Geräte versandt, so erfolgt dies Gefahr des Auftragnehmers. Die Versandkosten sind im monatlichen Mietpreis enthalten. Das Auspacken der Geräte und die Entsorgung der Verpackung werden nicht geschuldet. 3. Nimmt der Auftraggeber von der Option Gebrauch und verlangt Lieferung weiterer Geräte, so sind diese zusätzlichen Geräte konfiguriert und betriebsbereit innerhalb von 14 Tagen nach Eingang der Bestellung zur Verfügung zu stellen. Der Lieferort wird dem Auftragnehmer bei der Bestellung mitgeteilt. Werden die Geräte versandt, so erfolgt dies Gefahr des Auftragnehmers. Die Versandkosten sind im monatlichen Mietpreis enthalten. Das Auspacken der Geräte und die Entsorgung der Verpackung werden nicht geschuldet. 4. Der Auftragnehmer teilt dem Auftraggeber spätestens einen Tag vor Lieferung der Gerä- 51 EVB-IT Systemvertrag Seite 34 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 te die Seriennummern und MAC-Adressen der Geräte in elektronischer Form (z.B. einer Excel-Tabelle) mit. 5. Im Falle der nicht fristgerechten Übermittlung der MAC-Adressen und/oder der Seriennummern kann der Auftraggeber vom Auftragnehmer eine Vertragsstrafe i.H.v. 0,2 v. H. des Brutto-Auftragswerts aus diesem Vertrag verlangen. Insgesamt darf die Vertragsstrafe jedoch nicht mehr als 5 v.H. des Brutto-Auftragswerts dieses Vertrags betragen. II. Modelländerungen 1. Während der Vertragslaufzeit hat der Auftraggeber sowohl bei Ausübung der Option als auch bei Gerätetausch einen Anspruch auf Lieferung von Geräten entsprechend der Beschreibung in Anlage 1 (Leistungsbeschreibung). Abweichungen hiervon sind nur nach Maßgabe der nachfolgenden Regelungen zulässig. 2. Der Auftragnehmer darf einen Modellwechsel durchführen, wenn die Lieferung des vereinbarten Geräts innerhalb der Vertragslaufzeit objektiv unmöglich wird (z. B. wenn das vereinbarte Modell objektiv nicht mehr lieferbar ist). 3. Das im Rahmen des Modellwechsels angebotene Nachfolgemodell muss in allen Punkten mindestens den tatsächlichen Leistungswerten des ursprünglich angebotenen Modells entsprechen. 4. Ein Wechsel des Gerättyps ist nur im gegenseitigen Einvernehmen möglich. III. Vertragslaufzeit / Kündigung / Rücknahme der Geräte 1. Vertragslaufzeit Ergänzend zu Ziffer 4.2 Lfd. Nr. 1 und Nr. 2 Mietdauer in Monaten (feste Laufzeit) gilt: a) Die Vertragslaufzeit beträgt für die 73 Geräte 48 Monate ab Vertragsbeginn (01.01.2020) und kann zweimal jeweils um ein Jahr verlängert werden. b) Nimmt der Auftraggeber von der Optionsmöglichkeit Gebrauch und verlangt Auslieferung weiterer Geräte, so endet die Vertragslaufzeit auch für diese Geräte zeitgleich mit der Beendigung des Vertragsverhältnisses für die 73 Geräte. c) Eine darüberhinausgehende stillschweigende Verlängerung des Vertrages ist ausgeschlossen. 2. Kündigung a) Ergänzend zu Ziffer 4.2. Lfd. Nr. 1 und 2 Abw. Kündigungsfrist in Monaten gilt: Der Auftraggeber hat die Möglichkeit einzelne Geräte vor Ablauf der Vertragslaufzeit ohne Angabe von Gründen mit einer Kündigungsfrist von zwei Monaten zurückzugeben. Diese Möglichkeit ist auf maximal 10% des Gerätebestandes bei Vertragsbeginn, mithin auf insgesamt bis zu 7 Geräte, begrenzt. Eine optionale Erhöhung der Gerätemenge nach Vertragsbeginn hat auf die Berechnung der 10% keine Auswirkung. b) Das Recht der Parteien zur außerordentlichen Kündigung bleibt hiervon unberührt. 3. Rücknahme der Geräte Der Auftragnehmer ist verpflichtet, alle Geräte am Ende der Vertragslaufzeit bzw. bei Ausübung des Kündigungsrechts nach Abs. 2 a) an den Einsatzorten des Auftraggebers abzuholen. Verlangt der Auftragnehmer, dass die Geräte an ihn verschickt werden sollen, so trägt er das Risiko des zufälligen Untergangs oder deren Beschädigung sowie die Versandkosten. 17.8.2Überlas s ung von Standards oftware auf Zeit (Vermietung) Ergänzend zu 4.4.1 Lfd. Nr. 1 und 2 gilt: Die Ausführungen unter Ziffer 17.8.1 III 1 und 2 gelten entsprechend. Die Überlassung von Standardsoftware auf Zeit ist nur solange notwendig wie die Anmietung von Hardware erfolgt. 17.8.3Einrichtung eines Netzs ervices und Abwicklung von Zahlungen Die folgenden Bedingungen regeln den Service des Auftragnehmers bei der Erbringung von Netzbetriebsleistungen im Kartenzahlungssystem (Zahlungsverkehrsabwicklung). 52 EVB-IT Systemvertrag Seite 35 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 I. Leistungsgegenstand ist die Abwicklung bargeldloser Zahlungen im Netzbetrieb, sowie damit im Zusammenhang stehende sonstige Leistungen (wie z.B. Full-Service) entsprechend Anlage 1 (Leistungsbeschreibung). II. Verbrauchs- und umsatzabhängige Kosten werden wie folgt vergütet: 1. Kosten pro Transaktion 2. Bankautorisierung (Disagio) für - girocard - Maestro - VPay - Mastercard - VISA III. Ausfallzeiten: 1. Zu Zwecken der Wartung und Pflege ist der Auftragnehmer berechtigt, den Netzbetrieb für die Dauer der Wartung / Pflege zu unterbrechen. Der Auftragnehmer hat dies dem Auftraggeber rechtzeitig vorher schriftlich mitzuteilen. 2. Für Ausfälle der Autorisierungszentrale trägt der Auftragnehmer keine Verantwortung. IV. Kündigung 1. Die Ausführungen aus Ziffer 17.8.1 III 1. und 2. gelten sinngemäß. Gibt der Auftraggeber Geräte zurück oder kündigt er deren Überlassung, so endet auch dieser Vertragsteil. 2. Sollten über einen längeren Zeitraum (mind. 1 Monat) regelmäßig unvorhergesehene Ausfallzeiten entsprechend Abs. 3 von erheblichen Umfang (mind. eine Stunde pro Tag) auftreten, ist der Auftraggeber berechtigt, den Vertrag im Ganzen außerordentlich fristlos zu kündigen. V. Schadenersatz Des Weiteren ist der Auftragnehmer insbesondere schadenersatzpflichtig für: Zinsschäden aufgrund verspäteter Gutschrift der eingezogenen Geldbeträge auf dem Bankkonto des Auftraggebers; dies gilt nicht im Falle leichter Fahrlässigkeit Datenverlust; dies gilt nicht, wenn der Auftragnehmer dies nicht oder nur leicht fahrlässig zu vertreten hat nicht erfolgte oder fehlerhafte Ausführung eines Zahlungsvorgangs, es sei denn, der Auftragnehmer hat dies nicht zu vertreten. VI. Vertragsstrafe Kann eine Störung nicht innerhalb von 24 Arbeitsstunden beseitigt werden, kann der Auftraggeber ab dem auf Ablauf dieser Frist folgenden Arbeitstag Vertragsstrafe gemäß 17.8.10 verlangen. VII. Konfiguration der Geräte Die Geräte sind vom Auftragnehmer so einzurichten, dass ohne Änderung der Konfiguration nur Zahlungen mit Debit- oder Kreditkarte (und zwar girocard, Maestro, VPay, MasterCard, VISA) mit Zahlungsgarantie entsprechend Anlage 1 (Leistungsbeschreibung) ausgelöst werden können. Sollten aufgrund abweichender Einstellungen vom Auftraggeber versehentlich andere Zahlungsarten genutzt / akzeptiert werden, übernimmt der Auftragnehmer hierfür die volle Verantwortlichkeit und leistet bei Zahlungsausfall Schadensersatz. VIII. Mitwirkungspflichten des Auftraggebers: 1. Der Auftraggeber ist verpflichtet, dem Auftragnehmer alle Informationen zur Verfügung zu stellen, die zur Erbringung der Leistung erforderlich sind. 2. Der Auftraggeber prüft die über die Geräte abgewickelten Umsätze, die gutgeschriebenen Beträge, sowie die hierfür angefallenen Entgelte umgehend auf Richtigkeit. Einwendungen hiergegen können gegenüber dem Auftragnehmer nur innerhalb von 3 Monaten ab dem Zeitpunkt geltend gemacht werden, zu dem der Auftraggeber hiervon erstmals Kenntnis erlangen konnte. 53 EVB-IT Systemvertrag Seite 36 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 3. Der Auftraggeber ist verpflichtet, unbefugten Dritten keinen Zugriff auf die Kartenzahlungsgeräte zu gewähren. Sofern der Verdacht besteht, dass sich Dritte Zugang zu einem Gerät verschafft haben, ist der Auftraggeber verpflichtet, dies dem Auftragnehmer unmittelbar anzuzeigen. IX. Anforderungen an den Datenschutz Die Übertragung der Daten erfolgt ausschließlich über gesicherte (verschlüsselte Übertragung) Mobilfunk bzw. mobilen Datenfunk. Auf die Regelungen in der Anlage 2 wird besonders hingewiesen. 17.8.4Reporting Der Auftragnehmer ist verpflichtet, die in der Anlage 1 (Leistungsbeschreibung) angegebenen Anforderungen an Reporting zu erfüllen. 17.8.5Optionale Leis tungen Der Auftragnehmer ist verpflichtet während der gesamten Vertragslaufzeit nachfolgend dargestellten Leistungen zu erbringen, sobald der Auftraggeber hiervon Gebrauch macht. I. Lieferung von bis zu 10 weiteren Geräten Nimmt der Auftraggeber von seiner Option Gebrauch und verlangt Lieferung weiterer Geräte, so gelten die unter Ziffer 17.8.1 dieses Vertrages gemachten Ausführungen. Die Abrechnung erfolgt entsprechend Ziffer 17.8.7 dieses Vertrages. II. Lieferung von Thermopapier Nimmt der Auftraggeber von seiner Option Gebrauch, so ist der Auftragnehmer verpflichtet, die vom Auftraggeber bestellte Menge an Thermopapier innerhalb von einer Arbeitswoche an die vom Auftraggeber noch näher zu bestimmende Dienststelle auf seine Kosten zu liefern. Wird das Thermopapier versandt, so erfolgt dies auf Rechnung und Gefahr des Auftragnehmers. 17.8.6Vergütung des Ges amts ys tems I. Die Vergütung erfolgt entsprechend Ziffer 3 der Leistungsbeschreibung. Sie gliedert sich in folgende Einzelpositionen: Monatlicher Mietpreis der Geräte inklusive Full-Service und Zubehör Verbrauchsabhängige Kosten (Transaktionskosten) Umsatzabhängige Kosten (Bankautorisierung, Disagio) II. Monatlicher Mietpreis der Geräte inklusive Full-Service und Zubehör 1. Durch den monatlichen Mietpreis sind alle nachfolgenden Positionen abgegolten: Bereitstellung der unter Ziffer 4.2 ldf. Nr. 1 und Nr. 2 angeführten Anzahl an Geräten inkl. Zubehör Rollout der Systeme inklusive aller vorbereitenden Maßnahmen (z.B. Vorkonfiguration) sowie Anlieferung und Rücknahme der Geräte an den Einsatzstandorten (73 Dienststellen der ÄDBV in Bayern) bzw. falls auf Veranlassung des Auftragnehmers verschickt, die Übernahme der Versandkosten Dokumentation zur erstmaligen Inbetriebnahme, zur Durchführung von Zahlungsvorgängen sowie mit Hinweisen zum Vorgehen bei Störungen Bedienungsanleitungen in deutscher Sprache Full-Service gemäß Anlage 1 (Leistungsbeschreibung) und Bieterangaben in der Bewertungsmatrix Leistung inklusive kostenloser Service-Hotline Bedarfswartung der Systeme Verschleiß- /Ersatzteile usw. Wiederherstellung der Betriebsbereitschaft einzelner Geräte durch Vor-Ort- 54 EVB-IT Systemvertrag Seite 37 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 Service oder Geräteaustausch innerhalb von 24 Arbeitsstunden, sofern das Problem nicht über die Servicehotline und Mitwirkung des Nutzers gelöst werden kann Änderung von Stammdaten (z.B. Änderung Adresse, Bankverbindung usw.) Errichtung und Betrieb eines Netzservice sowie Abwicklung von Zahlungen (ausgenommen verbrauchs- und umsatzabhängige Kosten) 2. Sämtliche anfallenden Kosten und Gebühren sind pro Gerät und Dienststelle monatlich in Rechnung zu stellen. Werden mehrere Geräte pro Dienststelle abgerechnet, so kann eine Gesamtrechnung für alle Geräte erstellt werden. Der Gesamtrechnung soll dann eine gesonderte Aufschlüsselung für jedes Gerät beigefügt werden. III. Die verbrauchs- und umsatzabhängigen Kosten sind wie folgt abzurechnen: 1. Die Abrechnung der verbrauchs- und umsatzabhängigen Kosten gegenüber dem Auftraggeber erfolgt getrennt nach den Einsatzorten der Geräte in den jeweiligen Dienststellen monatlich, im Nachhinein und in Form einer schriftlichen Rechnung. 2. Sofern eine Dienststelle mehrere Geräte einsetzt, sind die Gebühren in einer Gesamtrechnung zusammenzufassen. 3. Um die Prüfbarkeit der Rechnung hinsichtlich der einzelnen Geräte und der einzelnen Kosten zu gewährleisten, ist der Abrechnung ein Report über die verarbeiteten Zahlungen beizufügen. IV. Optionale Positionen werden gesondert vergütet. Hierunter fallen: 10 Pakete Thermopapier: Preis pro Paket mit 100 Rollen (inkl. Lieferung) Anmietung von 10 zusätzlichen Kartenzahlungsgeräten incl. Full-Service und Zubehör V. Bei Inbetriebnahme oder Rückgabe von Geräten während eines Kalendermonats beträgt der Mietzins je Kalendertag und Gerät 1/30 der Grundmonatsmiete aus Abs. 2. Die Abrechnung erfolgt Tag genau. VI. Die Zahlungsfrist beträgt 30 Tage. Sie beginnt mit dem Tag des Rechnungseingangs, jedoch nicht vor Fälligkeit der Miete. VII. Rechnungsempfänger ist das jeweils betroffene Amt für Digitalisierung, Breitband und Vermessung. VIII. In den Preisen sind sämtliche Auslagen und Nebenkosten enthalten, die zur Erbringung der geforderten und angebotenen Leistungen erforderlich (z.B. Spesen, Fahrtkosten, etc.) sind. Reisezeiten werden nicht vergütet. 17.8.7Preis anpas s ungs klaus el Der Auftragnehmer hat die Möglichkeit, die Vergütung zu Beginn des 3. und 4. Vertragsjahres um bis zu 2 % des letztmaligen Preises zu erhöhen. Die Erhöhung erfolgt auf Initiative des Auftragnehmers. Eine rückwirkende Erhöhung ist ausgeschlossen. 17.8.8Kündigung des ges amten Sys temvertrags I. Wird ein Teil dieses Vertrages gekündigt, so hat es die Beendigung des gesamten Systemvertrags zur Folge. II. Verliert der Auftragnehmer seine Zulassung als Netzbetreiber, sind die Parteien berechtigt, den Vertrag im Ganzen außerordentlich fristlos zu kündigen. III. Sollten über einen längeren Zeitraum (mind. 1 Monat) regelmäßig unvorhergesehene Ausfallzeiten entsprechend 17.8.4 Abs. 3 von erheblichen Umfang (mind. eine Stunde pro Tag) auftreten, ist der Auftraggeber berechtigt, den Vertrag im Ganzen außerordentlich fristlos zu kündigen. 55 EVB-IT Systemvertrag Seite 38 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 IV. Das Recht zur außerordentlichen Kündigung bleibt unberührt. 17.8.9Vertrags s trafe bei Schlechtleis tung I. Kommt der Auftragnehmer seinen vertraglichen Pflichten nicht oder nicht in gehöriger Weise nach, so kann der Auftraggeber für jeden Kalendertag eine Vertragsstrafe in Höhe von 0,2 v. H. des Brutto-Auftragswerts aus diesem Vertrag verlangen. Insgesamt darf die Vertragsstrafe jedoch nicht mehr als 5 v.H. des Brutto-Auftragswerts dieses Vertrags betragen. II. Die Geltendmachung von Schadensersatzansprüchen bleibt hiervon unberührt. 17.8.10 Keine Arbeitnehmerüberlas s ung I. Gegenstand ist die bloße Erbringung der angeführten Dienstleistungen. Es entsteht keine Arbeitnehmerüberlassung und eine solche ist auch im Vollzug des Vertrags nicht bezweckt. II. Sämtliche Regelungen sind so zu verstehen, dass dadurch das Personenauswahlrecht und die Weisungs- und Direktionsbefugnisse nicht zum Auftraggeber gezogen werden. Soweit dem Auftraggeber die Einflussnahme auf die Art und Weise der Leistungserbringung eingeräumt wird, geschieht dies vor allem aus organisatorischen Gründen seitens des Auftraggebers und zieht keine Verlagerung der personalwirtschaftlichen Zuständigkeiten nach sich. So werden die Arbeitnehmer weder in den Betrieb des Auftraggebers eingeordnet noch unterstehen sie direkt den Weisungen des Auftraggebers. 17.8.11 Vertraulichkeits erklärung I. Der Auftragnehmer erklärt, dass er rechtlich und tatsächlich in der Lage ist, alle im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse - auch nach Beendigung des Vertragsverhältnisses - vertraulich zu behandeln, insbesondere nicht an Dritte weiterzugeben oder anders als zu vertraglichen Zwecken zu verwerten. Insbesondere bestehen zum Zeitpunkt der Abgabe des Angebotes keine Verpflichtungen, Dritten solche Informationen zu offenbaren oder in anderer Weise zugänglich zu machen. Dies gilt nicht, soweit hierfür gesetzliche Offenlegungspflichten bestehen (etwa gegenüber Stellen der Börsenaufsicht, Regulierungsbehörden oder der Finanzverwaltung), es sei denn, solche Offenlegungspflichten bestehen gegenüber ausländischen Sicherheitsbehörden. In Zweifelsfällen hat der Auftragnehmer den Auftraggeber auf die gesetzliche(n) Offenlegungspflicht(en) im Rahmen der Abgabe der vorstehenden Erklärung hinzuweisen. II. Der Auftragnehmer ist verpflichtet, den Auftraggeber sofort schriftlich zu benachrichtigen, wenn er die Einhaltung dieser Verpflichtung nicht mehr gewährleisten kann, insbesondere, wenn für ihn eine Notwendigkeit oder Verpflichtung entsteht oder er eine solche hätte erkennen können, die ihn an der Einhaltung der Vertraulichkeit hindern könnte. III. Vertrauliche Informationen sind Informationen, die ein verständiger Dritter als schützenswert ansehen würde oder die als vertraulich gekennzeichnet sind; dies können auch solche Informationen sein, die während einer mündlichen Diskussion bekannt werden. Vertrauliche Informationen dürfen ausschließlich zum Zweck der Erfüllung der Verpflichtungen aus dem Vertrag eingesetzt werden. Die Verpflichtung zur Vertraulichkeit gilt nicht für Informationen, die den Parteien bereits rechtmäßig bekannt sind oder außerhalb des Vertrages ohne Verstoß gegen eine Vertraulichkeitsverpflichtung bekannt werden. 17.8.12 Korruptions prävention und paus chalis ierter Schadens ers atz Wenn der Auftragnehmer aus Anlass der Vergabe nachweislich eine Abrede getroffen hat, die eine unzulässige Wettbewerbsbeschränkung darstellt, hat er 5 v. H. der Auftragssumme an den Auftraggeber zu zahlen, es sei denn, dass kein oder ein Schaden in anderer Höhe nachgewiesen wird. Dies gilt auch, wenn der Vertrag gekündigt wird oder bereits erfüllt ist. 17.8.13 Datens chutzvereinbarung Die Ämter für Digitalisierung, Breitband und Vermessung verwalten sensible Daten. Der Auf- 56 EVB-IT Systemvertrag Seite 39 von 39 Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964 Vertragsnummer/Kennung Auftragnehmer _______ Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert. Version 2.01 vom 09.01.2013 tragnehmer wird auf die Datenschutzvereinbarung in der Anlage 2 Vereinbarung zur Auftragsverarbeitung zu diesem Vertrag hingewiesen. Mit Angebotsabgabe und nur bei anschließender Zuschlagserteilung gilt die Zustimmung zur Einhaltung der Datenschutzvereinbarung als abgegeben. 17.8.14 Verpflichtungs erklärung I. Mitarbeiter des Auftragnehmers werden gemäß 1 Verpflichtungsgesetz verpflichtet und haben im Anschluss eine Niederschrift (Anlage 2 Vereinbarung zur Auftragsverarbeitung) zu unterzeichnen. II. Die Verpflichtungserklärung ist zu unterzeichnen, soweit Mitarbeiter des Auftragnehmers mit sensiblen Daten des Auftraggebers in Berührung kommen. Dies gilt insbesondere, wenn Stammdaten erstmalig eingepflegt oder auf Verlangen des Auftraggebers verändert werden, bei Vor-Ort-Einsätzen, bei Wartungsarbeiten an der Dienststelle des Auftraggebers oder ähnliches. III. Hat ein Mitarbeiter des Auftragnehmers eine Verpflichtungserklärung nicht unterzeichnet oder weigert er sich, so hat der Auftragnehmer einen anderen Mitarbeiter, der diese Voraussetzung erfüllt, zu schicken. Sämtliche daraus resultierenden Folgen gehen zu Lasten des Auftragnehmers. 17.8.15 Abtretung Die Abtretung von Forderungen des Auftragnehmers bedarf der schriftlichen Zustimmung des Auftraggebers. 17.8.16 Gerichts s tand Als Gerichtsstand wird München vereinbart. 17.8.17 Schriftformklaus el I. Änderungen oder Ergänzungen dieses Vertrags sind nur wirksam, wenn sie schriftlich vereinbart werden. Dies gilt auch für eine Änderung dieser Schriftformklausel. II. Abweichend von Abs. 1 sind auch formlos getroffene Änderungen oder Ergänzungen dieser Vereinbarung wirksam, wenn sie Individualvereinbarungen im Sinne von 305 b BGB sind. 17.8.18 Salvatoris che Klaus el I. Sollten Teile dieser Vereinbarung unwirksam sein oder werden, so bleiben die übrigen Teile dieser Vereinbarung davon unberührt. Beide Parteien verpflichten sich, anstelle der unwirksamen Klausel eine ihrerseits wirksame Klausel zu vereinbaren, die dem wirtschaftlichen Zweck des unwirksamen Teiles am nächsten kommt II. Sollte in diesem Vertrag ein regelungsbedürftiger Punkt versehentlich nicht geregelt worden sein, so verpflichten sich die Vertragsparteien, die so entstandene Lücke im Sinne und Geiste dieses Vertrages durch eine ergänzende Vereinbarung zu schließen. Die sonstigen Vereinbarungen ergeben sich aus Anlage Nr. . , , Ort Datum Ort Datum Auftragnehmer Auftraggeber Unterschrift Auftragnehmer (Name in Druckschrift) Unterschrift Auftraggeber (Name in Druckschrift) 57 - 1 - Anlage 1 Leistungsbeschreibung Inhaltsverzeichnis 1 Einleitung ................................................................................................................... - 3 - 1.1 Das Landesamt für Digitalisierung, Breitband und Vermessung .......................... - 3 - 1.2 Vertragsgegenstand............................................................................................ - 3 - 1.3 Vertragslaufzeit ................................................................................................... - 3 - 1.4 Technische Änderungen, Weiterentwicklungen................................................... - 4 - 2 Einzelne Vertragsbestandteile.................................................................................... - 4 - 2.1 Anmietung von 73 Geräten.................................................................................. - 4 - 2.1.1 Allgemeine Anforderungen........................................................................... - 4 - 2.1.2 Hardware ..................................................................................................... - 4 - 2.1.3 Software....................................................................................................... - 5 - 2.1.4 Programmierung der Geräte......................................................................... - 5 - 2.1.5 Anbindung der Kartenzahlungsgeräte an den Server des Auftragnehmers .. - 6 - 2.1.6 Pilotbetrieb an einem Standort ..................................................................... - 7 - 2.1.7 Beifügen einer Dokumentation ..................................................................... - 7 - 2.1.8 Umgebungsbedingungen ............................................................................. - 7 - 2.1.9 Barrierefreie Gestaltung ............................................................................... - 8 - 2.1.10 Lieferung der Geräte .................................................................................... - 8 - 2.1.11 Rücknahme der Geräte................................................................................ - 8 - 2.2 Full-Service ......................................................................................................... - 8 - 2.2.1 Servicehotline............................................................................................... - 8 - 2.2.2 Wiederherstellungszeit ................................................................................. - 9 - 2.2.3 Wartung und Reparatur der Geräte / Updates / Upgrades............................ - 9 - 2.2.4 Änderung der Stammdaten .......................................................................... - 9 - 2.3 Abwicklung von Zahlungen................................................................................ - 10 - 58 - 2 - 2.3.1 Zahlungsarten ............................................................................................ - 10 - 2.3.2 Zahlungsvorgang ....................................................................................... - 10 - 2.3.2.1 Bezahlvorgang beim Zahlungspflichtigen ............................................ - 10 - 2.3.2.2 Einzug beim Zahlungspflichtigen......................................................... - 10 - 2.3.2.3 Gutschrift auf das Konto des Auftraggebers ........................................ - 10 - 2.3.3 Anforderungen an die Gutschrift................................................................. - 11 - 2.4 Reporting .......................................................................................................... - 11 - 2.5 Sonstige Leistungen.......................................................................................... - 11 - 3 Vergütung ................................................................................................................ - 12 - 59 - 3 - 1 Einleitung 1.1 Das Landesamt für Digitalisierung, Breitband und Vermessung Das Landesamt für Digitalisierung, Breitband und Vermessung (LDBV) ist Ansprechpartner des Bayerischen Staatsministeriums der Finanzen und für Heimat auch auf dem Gebiet der Vermessung. Als Mittelbehörde ist es das Bindeglied zwischen der verwaltungspraktischen Tätigkeit der örtlichen Ämter für Digitalisierung, Breitband und Vermessung (ÄDBV) und der lenkenden und etatverwaltenden Staatsspitze. Es unterstützt die ihm nachgeordneten ÄDBV in fachlicher, organisatorischer und technischer Hinsicht und übt über diese die Fach- und Dienstaufsicht aus. 1.2 Vertragsgegenstand Das LDBV beabsichtigt an den ÄDBV die Einführung der Kartenzahlung als moderne und digitale Zahlmöglichkeit. Dazu sollen für alle Dienststellen der ÄDBV (51 Hauptämter und 22 Außenstellen) Kartenzahlungsgeräte angemietet werden. Der Vertrag beinhaltet folgende Leistungen: Anmietung von 73 Kartenzahlungsgeräten (nachfolgend: Geräte) für die Geschäftszimmer der ÄDBV (Adressen siehe Anlage Dienststellen) Abwicklung von Zahlungen o mit Debitkarte (girocard, Maestro, VPay) o mit Kreditkarte (MasterCard, VISA, American Express, Diners Club) o durch kontaktloses Bezahlen per Karte mit PIN oder Unterschrift o per Smartphone (NFC Methode; z.B. Apple Pay, Google Pay, Samsung Pay oder Bezahl App Boon) Full-Service (insbesondere Servicehotline, Wartung usw.) Reporting OPTIONAL: o Anmietung von bis zu 10 weiteren Kartenzahlungsgeräten, in mehreren Teilmengen für verschiedene Standorte 1.3 Vertragslaufzeit Der Vertrag wird für den Zeitraum vom 01.01.2020 bis 31.12.2023 abgeschlossen und kann zweimal um jeweils ein Jahr verlängert werden. 60 - 4 - 1.4 Technische Änderungen, Weiterentwicklungen Um während der Vertragslaufzeit an technischen Änderungen und Weiterentwicklungen von Standards und weiteren Zahlungsmöglichkeiten teilzunehmen, kann der Auftragnehmer diese Ergänzung oder Änderung in diesem Fall in einem eigenen Angebot als Vertragsergänzung anmelden. Mit der Annahme dieses Angebots durch den Auftraggeber wird die Vertragsänderung als Anlage Bestandteil des neuen Gesamtvertrags. 2 Einzelne Vertragsbestandteile 2.1 Anmietung von 73 Geräten 2.1.1 Allgemeine Anforderungen Alle Geräte müssen fabrikneu (keine Recycling-/ Gebraucht-Systeme), vom gleichen Hersteller und vom gleichen Modell sein. Sollte der angebotene Gerätetyp während der Vertragslaufzeit aufgrund eines Modell- oder Komponentenwechsels nicht mehr verfügbar sein, so muss das angebotene Nachfolgemodell in allen Punkten mindestens den Leistungsspezifikationen des ursprünglich angebotenen Modells entsprechen. Ein Wechsel des Gerättyps ist nur im gegenseitigen Einvernehmen möglich. Die Geräte müssen während der gesamten Vertragslaufzeit alle Anforderungen aus dem Abkommen der Deutschen Kreditwirtschaft1 samt dessen Anlagen sowie denen des Payment Card Industry Security Standards Council erfüllen. 2.1.2 Hardware Alle stationären und netzgebundenen Geräte müssen mit folgenden Komponenten ausgestattet sein: Sicherheitsmodul Eingabetastatur (PIN-Pad) Chipkartenleser NFC-Leser zur kontaktlosen Bezahlung mit Karte und Smartphone Möglichkeit der elektronischen Unterschriftenerfassung beleuchtetes Display 1 Das DFÜ-Abkommen ist ein Abkommen über die Datenfernübertragung zwischen Kunden und Kreditinstituten. Hierin verpflichten sich die im Interessensverband Die Deutsche Kreditwirtschaft zusammengeschlossenen Verbände namens ihrer Mitglieder ihren Kunden gegenüber zu gemeinsamen Standards im elektronischen Zahlungsverkehr (https://die-dk.de/zahlungsverkehr/electronic-banking/dfu-verfahren-ebics/). 61 - 5 - Sichtschutz Integrierter Thermodrucker LAN-Schnittstelle Schnittstelle zur Übertragung von Daten (Preis, Buchungskennzeichen) an das Gerät (ggf. gleich LAN-Schnittstelle); Eine Beschreibung des Schnittstellenformats und der Funktionalität zur Übermittlung der Daten ist beizufügen. Deutschsprachige Bedienungsanleitung Zubehör: o Reinigungsset für Kartenleser o 2 Rollen Thermopapier für Belegdruck pro Gerät (bei Geräteauslieferung kostenfrei beiliegend) Anmerkung: Im Angebot ist die genaue Modellbezeichnung des angebotenen Gerätes anzugeben. Für das angebotene Modell sind Prospektmaterial, Datenblätter sowie aussagekräftige Nachweise der geforderten Merkmale im Anhang beizulegen. Mit den Geräten müssen die unter Punkt 2.3.1 aufgeführten Zahlungsarten abgewickelt werden können. 2.1.3 Software Folgende durch den Auftragnehmer lizenzierten Softwarekomponenten müssen auf den Geräten installiert und konfiguriert sein: Betriebssystem Kommunikationssoftware Software des Sicherheitsmoduls Softwaremodule für EMV und NFC Alle benötigten Updates und Upgrades werden vom Auftragnehmer kostenfrei installiert. 2.1.4 Programmierung der Geräte Die Programmierung der Geräte erfolgt durch den Auftragnehmer nach den Vorgaben des Auftraggebers, d.h. die Stammdaten werden ab Zuschlagserteilung und nach Rücksprache mit dem Auftragnehmer durch den Auftraggeber zur Verfügung gestellt. Hierzu hat sich der Auftragnehmer mit dem Auftraggeber unverzüglich nach Zuschlagserteilung in Verbindung zu setzen. 62 - 6 - Die Programmierung umfasst folgende Leistungen: Einrichtung der Stammdaten (Standort, Adresse, Bankverbindung, Identifizierungsmerkmal des Gerätes) Möglichkeit zur individuellen Dateneingabe (alphanumerisch mit Sonderzeichen) bei jedem Zahlungsvorgang Alle Geräte sind betriebs- und einsatzbereit an die jeweiligen Dienststellen der ÄDBV zu liefern, damit diese ab dem 02.01.2020 durch die jeweiligen Nutzer eingesetzt werden können. 2.1.5 Anbindung der Kartenzahlungsgeräte an den Server des Auftragnehmers Die Kartenzahlungsgeräte werden in den ÄDBV innerhalb des Bayerischen Behördennetzes betrieben. Die Anbindung an den Server des Auftragnehmers (nachfolgend: AN) erfolgt in der Regel über das Internet. Hierbei sind die geltenden Sicherheitsrichtlinien einzuhalten, siehe Anlage Sicherheitsrichtlinien). Entscheidend ist die Fähigkeit, über den zentralen Internetproxy zu kommunizieren und welche Ports für die Kommunikationsbeziehung verwendet werden. Sofern die Kommunikation nicht über die in Anlage 2 der BayITSiR-02 aufgeführten Standardports möglich ist, ist die Kommunikation via Internet nicht möglich. In diesem Fall ist gem. BayITSiR-06 Punkt 2.1.1 die Kommunikation zwischen den Terminals und dem Server des AN über einen Dienstleisteranschluss im Bayerischen Behördennetz zu realisieren. Der Einsatz eines Dienstleister-VPN wird in der BayITSiR-09 geregelt und stellt Anforderungen dar, die der AN einzuhalten hat. Hierbei werden die von den Kartenzahlungsgeräten genutzten Ports beim AN über das Dienstleister-VPN angesprochen. Der Anschluss an das Dienstleister- VPN ist unter Angabe des Dienstleisters, der IP-Adressen, der Kartenzahlungsgeräte und der benötigten Ports vom AN zu beantragen. Die benötigten Ports sind im Angebot des AN anzugeben. Zusätzlich ist zu beachten, dass der Dienstleister-Anschluss vom IT-Dienstleistungszentrum (IT-DLZ) IP-Adressen aus dem privaten 10er Adressraum zugewiesen bekommt. Um die Kommunikation zum Server herzustellen, müssen diese IP-Adressen in der Regel durch eine NAT-Umsetzung auf die Adressen des Servers umgesetzt werden. Diese Leistung kann nicht durch den Behördennetzanschluss gewährleistet werden, sondern muss vom AN durchgeführt werden. 63 - 7 - Der AN muss für die Kommunikation mindestens einen Anschluss mit 2 MBit/s Bandbreite betreiben (ein Anschluss für alle Dienststellen zusammen). Die Beauftragung erfolgt über die Baykom Rahmenvereinbarung Los 1 Bayerisches Behördennetz. Das Rechenzentrum des AN muss dazu innerhalb Deutschlands liegen. Die voraussichtlichen Kosten betragen ca. 90 Euro monatlich zzgl. USt. und sind im monatlichen Mietpreis enthalten. Der AN hat in den Angebotsunterlagen ausführlich zu beschreiben, wie die Kommunikation zwischen dessen Rechenzentrum und dem Kartenzahlungsterminal abläuft, welcher Art die Daten sind, die ausgetauscht werden, welche Komponenten dabei beteiligt sind, welche Dienste und Ports betroffen sind, wer Zugriff hat bzw. beteiligt ist und durch welche Maßnahmen die Sicherheit im Datennetz gewährleistet wird. Darüber hinaus ist den Angebotsunterlagen eine Skizze der Architektur mit den Kommunikationsbeziehungen beizulegen. 2.1.6 Pilotbetrieb an einem Standort Nach Zuschlagserteilung muss an einem ADBV ein Pilotbetrieb für die Dauer von zwei Monaten stattfinden, um vor allem die unter Nr. 2.1.5 beschriebene Anbindung der Geräte an den Server des Auftragnehmers zu testen. Innerhalb dieser Pilotierungsphase ist die Betriebsund Abrechnungsbereitschaft der Kartenzahlungsgeräte herzustellen. Währenddessen fallen keine Kosten für den Auftraggeber an. Erst nach erfolgreicher Pilotierung und Abnahme durch den Auftraggeber kann der Rollout für die restlichen ÄDBV beginnen und die Abrechnung starten. 2.1.7 Beifügen einer Dokumentation Neben der Bedienungsanleitung ist eine zur Einweisung der neuen Nutzer geeignete Dokumentation beizufügen, in welcher die folgenden Punkte näher erläutert werden: erstmalige Inbetriebnahme Durchführung eines Zahlungsvorgangs Vorgehen bei Störungen 2.1.8 Umgebungsbedingungen Die Geräte werden ausschließlich innerhalb der Geschäftsräume der ÄDBV eingesetzt. Der Auftragnehmer hat sicherzustellen, dass das Verfahren unter folgenden Bedingungen ökonomisch, ergonomisch und sicher betrieben werden kann: 64 - 8 - Die Geräte müssen schlag- und stoßgeschützt sein. Ein Fall von Geräten aus normaler, stehender Arbeitshöhe muss mehrfach unbeschadet überstanden werden können. 2.1.9 Barrierefreie Gestaltung Damit Menschen mit Einschränkungen die notwendigen Eingaben möglichst selbstständig vornehmen können, müssen die Geräte neben einer entsprechenden Größe folgende Mindestanforderungen erfüllen: Sie müssen mit einem gut lesbaren und kontrastreichen Display ausgestattet sein. Die ausreichend große Schrift muss entweder weiß auf schwarzem Hintergrund bzw. schwarz auf weißem Hintergrund sein. Durch taktile Kennzeichnung der Tasten soll ein zusätzlicher Orientierungshinweis ermöglicht werden (die 5 mit einem erhabenen Punkt, Zeichen für Bestätigung und Löschen mit eindeutig kodierten Symbolen). 2.1.10 Lieferung der Geräte Die Auslieferung der konfigurierten, betriebsbereiten Geräte erfolgt zeitnah nach erfolgreichem Pilotbetrieb und Abnahme durch den Auftraggeber (siehe 2.1.6) zu den unter 2.2.2 genannten Dienstzeiten an die 73 Dienststellen (Adressen siehe Anlage Dienststellen), um den Einsatz der Kartenzahlungsgeräte und den Abrechnungsstart zum 02.01.2020 sicherzustellen. Die Versandkosten der Geräte sind im monatlichen Mietpreis enthalten. Der Auftragnehmer teilt dem Auftraggeber spätestens einen Tag vor Lieferung der Geräte die Seriennummern und MAC-Adressen der Geräte in elektronischer Form (z. B. EXCEL-Tabelle) mit. 2.1.11 Rücknahme der Geräte Am Ende der Vertragslaufzeit bzw. bei Ausübung des Kündigungsrechts nach 17.8.1 III Abs. 2 a) des EVB-IT System Vertrags werden die Geräte vom Auftragnehmer an den Einsatzstandorten abgeholt oder von den ÄDBV zurückgeschickt. Die Versandkosten der Geräte sind im monatlichen Mietpreis enthalten. 2.2 Full-Service 2.2.1 Servicehotline Der Auftragnehmer stellt für die gemieteten Geräte und den Netzbetrieb eine gebührenfreie erreichbare Servicehotline zur Verfügung. 65 - 9 - Die Hotline muss deutschsprachig und Montag bis Freitag mindestens von 8:00 Uhr bis 17:00 Uhr erreichbar sein. Der Support umfasst insbesondere folgende Leistungen: Unterstützung der Anwender bei erstmaliger Nutzung der Geräte Entgegennahme von Störungsmeldungen Support bei Hard- / Softwareproblemen Beratung bei Sicherheitsanfragen 2.2.2 Wiederherstellungszeit Im Störungsfall muss, sofern das Problem nicht über die Hotline unter Mitwirkung des Nutzers gelöst werden kann, die Betriebsbereitschaft der einzelnen Geräte innerhalb von 24 Arbeitsstunden nach Störungsmeldung durch Vor-Ort-Service2 oder sofortigen Austausch wiederhergestellt werden. Vor-Ort-Leistungen können ausschließlich nach vorheriger Absprache mit dem jeweiligen ADBV während der Dienstzeiten (Mo Do 8:00 Uhr bis 17:00 Uhr; Fr 08:00 Uhr bis 12:00 Uhr) erbracht werden. Bei der Berechnung der 24-Stunden-Frist bleiben Wochenenden, bayerische und bundeseinheitliche Feiertage sowie der 24. und 31.12. unberücksichtigt. Im Übrigen sei auf die Regelungen im EVB-IT System Vertrag zu Wiederherstellungszeit in Stunden verwiesen. 2.2.3 Wartung und Reparatur der Geräte / Updates / Upgrades Alle erforderlichen Gerätewartungen und reparaturen sind im Full-Service enthalten. Notwendige Software-/ Sicherheitsupdates sowie Softwareupgrades werden vom Auftragnehmer unverzüglich und kostenlos bereitgestellt und eingespielt. Die Wartungs-, Reparatur- und Update-Maßnahmen dürfen nicht zu Betriebsausfällen länger als 10 Arbeitstage führen. Andernfalls werden kostenfreie Ersatzgeräte zur Verfügung gestellt. 2.2.4 Änderung der Stammdaten Sofern sich Stammdaten ändern (z.B. Standort, Adresse, Bankverbindung etc.) werden diese vom Auftragnehmer nach Mitteilung durch den Auftraggeber geändert. Die Kosten hierfür sind mit dem monatlichen Mietpreis abgegolten. 2 Unter Vor-Ort-Service ist die Behebung des Problems bzw. die Reparatur des Gerätes an der jeweiligen Dienststelle gemeint. 66 - 10 - 2.3 Abwicklung von Zahlungen 2.3.1 Zahlungsarten Als Zahlungsarten sind derzeit Debitkartenzahlungen mit PIN (girocard, Maestro, VPay), Kreditkartenzahlungen, Bezahlen per Handy (NFC Methode; Apple Pay, Google Pay, Samsung Pay, Bezahl App Boon) und kontaktloses Bezahlen per Karte mit PIN oder Unterschrift vorgesehen. 2.3.2 Zahlungsvorgang 2.3.2.1 Bezahlvorgang beim Zahlungspflichtigen Bei Nutzung der genannten Zahlungsarten erhält der Mitarbeiter des Auftraggebers nach Überprüfung der Karte auf Tageslimit, Kreditkartenlimit und Verfügbarkeit eine Zahlungsbestätigung durch die zuständige Bank bzw. das zuständige Kreditkartenunternehmen des Zahlungspflichtigen, welche die Zahlung garantiert. Mit dem Bezahlvorgang müssen zwei Belege ausgedruckt werden können (Kundenbeleg und Beleg für das ADBV). 2.3.2.2 Einzug beim Zahlungspflichtigen Die Bank des Anbieters der Kartenzahlungsgeräte, mithin die des Auftragnehmers, veranlasst den Einzug der Beträge bei der Bank bzw. des Kreditkartenunternehmens des Zahlungspflichtigen als Ersteinzieher (=Treuhandabwicklung). Die Gutschriften der mittels Kartenzahlung gezahlten Beträge erfolgen nach Vornahme eines Kassenschnittes (Tagesabschluss am Gerät) auf ein Sammelkonto des Auftragnehmers. 2.3.2.3 Gutschrift auf das Konto des Auftraggebers Die eingezogenen Geldbeträge aus allen vorgesehenen Zahlungsverfahren sind in voller Höhe, also ohne Abzug von Kosten und Gebühren, auf das vom Auftraggeber vorgegebene Zielkonto gutzuschreiben. Zielkonto ist das Konto des jeweiligen ADBV. Die Bankverbindungen werden dem Auftragnehmer vom Auftraggeber mit Erteilung des Zuschlags für jedes ADBV gesondert mitgeteilt. Die umsatz- und verbrauchsabhängigen Kosten sind den ÄDBV erst mit der Monatsabrechnung mit Zahlungsziel 30 Tage in Rechnung zu stellen. 67 - 11 - Die Gutschrift auf dem Bankkonto des ADBV muss bei Zahlungen mit der Debitkarte spätestens am auf den Kassenschnitt des Geräts folgenden Bankarbeitstag erfolgen. Kreditkartenzahlungen sollten entsprechend gutgeschrieben werden. Sofern die tägliche Gutschrift von Kreditkartenzahlungen nicht möglich sein sollte, ist die Sammlung dieser Zahlungen über einen Zeitraum von einer Woche und eine anschließend zusammengefasste Gutschrift zulässig. Anmerkung: Das technische Verfahren mit sämtlichen Buchungen bis zur Gutschrift auf dem Konto des ADBV und die vorgesehenen Gutschriftzeiten sind schriftlich und grafisch im Angebot darzustellen. 2.3.3 Anforderungen an die Gutschrift Der Netzbetreiber ermöglicht es, jedem Kartenlesegerät ein eigenes Identifizierungsmerkmal zuzuordnen (max. 17-stellig). Bei der Gutschrift der vom Zahlungsverpflichteten geleisteten Zahlungen durch die Bank des Auftragnehmers an das jeweilige Konto des ADBV ist zudem ein bestimmter, definierter Verwendungszweck (alphanumerisch) anzugeben, der bei jeder Weiterleitung zusammen mit dem Identifizierungsmerkmal des Gerätes anzugeben ist. 2.4 Reporting Die Reportinginformationen (Betrag, Terminal-ID, Identifizierungsmerkmal, Bemerkungsfeld) müssen monatlich an die jeweiligen Dienststellen sowie als Gesamtdatei übermittelt werden. Die automatische Übermittlung der Daten muss in einem für die ÄDBV lesbaren Dateiformat (CSV bzw. Excel) erfolgen. Die Kontaktdaten werden dem Auftragnehmer nach Zuschlagserteilung gesondert mitgeteilt. 2.5 Sonstige Leistungen Für optionalen Bezug von Belegpapier sind die Bezeichnung und die Kosten (Produkte/Leistungen im Angebotsassistenten) mitzuteilen. 68 - 12 - 3 Vergütung Das Angebot gliedert sich in folgende Einzelpositionen. Die entsprechenden Kosten sind im Angebotsassistenten unter Produkte/Leistungen einzutragen. Monatlicher Mietpreis der Geräte inklusive Full-Service und Zubehör Verbrauchsabhängige Kosten (Transaktionskosten). Es wird mit insgesamt 50.000 Zahlungsvorgängen pro Jahr gerechnet. Umsatzabhängige Kosten (Bankautorisierung, Disagio) Optionale Positionen sind gesondert zu vergüten. Hierunter fallen: 10 Pakete Thermopapier: Preis pro Paket mit 100 Rollen (inkl. Lieferung) Anmietung von zusätzlich 10 Kartenzahlungsgeräten inklusive Full-Service und Zubehör 69 BayITSiLL [Leitlinie zur Informationssicherheit (IT Security Policy) für die bayerische Staatsverwaltung] Text gilt seit 01.04.2016 Bayern 2003.4-F IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung Leitlinie zur Informationssicherheit (IT Security Policy) für die bayerische Staatsverwaltung[1] BayITSiLL Schreiben des IT-Beauftragten der Bayerischen Staatsregierung Stand: 1. April 2016, Az. 77/78-C 1001-3/48 [1] Fortgeltung ab 1. 1. 2016 gem. Ministerratsbeschluss v. 31. 5. 2016. 1. Einleitung Informationssicherheit nimmt in Zeiten der fortschreitenden Digitalisierung in den Geschäftsprozessen und Fachaufgaben der Verwaltung und Justiz sowie der steigenden Bedrohung durch Angriffe auf Daten und IT-Systeme einen immer höheren Stellenwert ein. Für Verwaltung und Justiz ist eine sichere Informations- und Kommunikationstechnik von höchster Bedeutung, denn sie resultiert aus der Verpflichtung des Staates gegenüber den Bürgern und der Wirtschaft, verantwortungsvoll bei der Erhebung, Speicherung, Übermittlung und Nutzung von Daten vorzugehen. Die Verfügbarkeit, Integrität und Vertraulichkeit der in IT-Systemen gespeicherten und dort übertragenen Daten muss durch technische und organisatorische Maßnahmen gewährleistet werden. Die Leitlinie zur Informationssicherheit wird bedarfsorientiert im Rahmen der dafür vorgesehenen Gremienstrukturen fortgeschrieben. [gültig ab 01.04.2016] 2. Zielsetzung Die Leitlinie zur Informationssicherheit formuliert Ziele und Grundsätze der Informationssicherheit. Sie gibt vor, für welche Zwecke und mit welchen Mitteln Informationssicherheit innerhalb der Staatsverwaltung und der Justiz gewährleistet werden soll. Sie stellt sicher, dass die Verfügbarkeit, Integrität und Vertraulichkeit der in den IT-Systemen der Staatsverwaltung und Justiz gespeicherten und dort übertragenen Daten einem normalen Schutzbedarf angemessen und dem Stand der Technik Anlage Sicherheitsrichtlinien ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_201 1 von 5 04.06.2019 70 entsprechend geschützt werden. Für höheren Schutzbedarf sind darüber hinaus weitere Maßnahmen zu treffen. [gültig ab 01.04.2016] 3. Geltungsbereich Die Leitlinie zur Informationssicherheit gilt für die unmittelbare Staatsverwaltung1 und die Justiz. Sie ist von allen Behörden der unmittelbaren Staatsverwaltung sowie der Justiz entsprechend der Aufgabenverantwortung umzusetzen. Ihre Anerkennung und Einhaltung ist ferner verbindliche Voraussetzung für die uneingeschränkte Teilnahme am Bayerischen Behördennetz. Für Landratsämter und die vom Geltungsbereich dieser Leitlinie nicht umfassten Behörden wird die uneingeschränkte Teilnahme am Bayerischen Behördennetz in sicherheitstechnischen Anschlussbedingungen geregelt. 1[Amtl. Anm.:] einschließlich des Bayerischen Obersten Rechnungshofes [gültig ab 01.04.2016] 4. Sicherheitsziele in der Informationssicherheit Die Bayerische Staatsregierung verfolgt mit ihren Investitionen in Informationssicherheit insbesondere folgende Ziele: Erfüllung der aus datenschutzrechtlichen und sonstigen gesetzlichen Vorgaben resultierenden Anforderungen an die Sicherheit der Informationen und der Informationstechnik Wahrung von Dienst- oder Amtsgeheimnissen Effiziente und effektive IT-Unterstützung der Geschäftsprozesse Verfügbarkeit der IT-Systeme, Netzwerke und digitalen Daten zur Gewährleistung der Kontinuität der Geschäftsprozesse Sicherung der in IT-Systeme und Netzwerke, digitale Daten und elektronische Arbeitsprozesse getätigten Investitionen Durch Sicherheitsmängel im Umgang mit Informationstechnik verursachte finanzielle Schäden und negative Außenwirkungen sollen vermieden werden. Deshalb ist insbesondere die Integrität, Verfügbarkeit und Vertraulichkeit der in ihren IT-Systemen gespeicherten bzw. auf ihren Netzwerken übertragenen Daten sowie die Verfügbarkeit und Integrität ihrer IT-Systeme und Netzwerke im erforderlichen Umfang zu gewährleisten. IT-Systeme und Netzwerke sowie die darin gespeicherten bzw. damit übertragenen Daten sind im erforderlichen Umfang vor Missbrauch, Manipulation, unberechtigtem Zugriff und Verlust zu schützen und abzusichern. Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 18 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_201 2 von 5 04.06.2019 71 [gültig ab 01.04.2016] 5. Grundsätze zur Informationssicherheit Zur Erreichung der in Nr. 4 genannten Sicherheitsziele sind folgende Grundsätze zu berücksichtigen: Nachhaltige Informationssicherheit Ein angemessenes Sicherheitsniveau ist dauerhaft durch geeignete Sicherheitsmaßnahmen zu gewährleisten, die regelmäßig hinsichtlich ihrer Effektivität zur Erreichung der Sicherheitsziele überprüft, dokumentiert und ggf. der aktuellen Bedrohungslage entsprechend angepasst werden. Sicherheit vor Verfügbarkeit Im Interesse der Bereitstellung und der Verfügbarkeit sicherer Informations- und Kommunikationstechnik sind zur Umsetzung notwendiger Sicherheitsmaßnahmen vertretbare Einschränkungen in Funktionalität, Bedienung und Komfort von IT-Systemen und Netzwerken zulässig. Wenn Angriffe auf die Integrität, Verfügbarkeit oder Vertraulichkeit von IT-Systemen oder Netzwerke drohen oder bekannt werden oder sonstige Sicherheitsrisiken auftreten, kann die Verfügbarkeit von IT-Systemen, Daten und Netzwerken entsprechend dem Bedrohungs- und Schadensrisiko eingeschränkt werden. Dies gilt in besonderem Maße für die Übergänge zwischen Netzwerken; sie sind im Falle von IT-Sicherheitsvorfällen, von denen ein nicht mehr vertretbares Risiko für eigene Netze ausgeht, zwingend einzuschränken. Sorgsamer Umgang mit vertraulichen Informationen Vertrauliche Informationen sind entsprechend der bestehenden Regelungen zu handhaben. Dem Verlust der Vertraulichkeit und Integrität ist durch geeignete Maßnahmen vorzubeugen. Mitarbeiter und Führungskräfte gehen sorgfältig mit allen Informationen im Verwaltungshandeln um. Maximalprinzip des Schutzes Die in Geschäftsprozessen erhobenen und verarbeiteten elektronischen Daten sind durch die jeweiligen Fachverantwortlichen bezüglich ihres Schutzbedarfs zu klassifizieren. Der Schutzbedarf von IT-Systemen und Netzwerken ergibt sich aus dem maximalen Schutzbedarf der darauf verarbeiteten und gespeicherten oder darin übertragenen Daten. Es ist sicherzustellen, dass dem Schutzbedarf angemessene Schutzmaßnahmen ergriffen werden. Minimalprinzip des Zugriffs Der Zugriff auf IT-Systeme und Daten ist auf die notwendigen Personen und Systeme zu beschränken. Die Zugriffsrechte sind explizit festzulegen. Alle Nutzer und IT-Systeme erhalten nur die Zugriffsrechte auf IT-Systeme, IT-Anwendungen und Daten, die zur Erfüllung der jeweiligen Aufgabe bzw. Implementierung ihrer Funktionalität erforderlich sind. Prinzip der informierten und verantwortungsbewussten Führungskräfte und Mitarbeiter Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 18 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_201 3 von 5 04.06.2019 72 Informationssicherheit betrifft ohne Ausnahme alle Mitarbeiter einschließlich der Führungskräfte. Letztere fördern Informationssicherheit insbesondere durch diesbezüglich vorbildliches Handeln. Sensibilisierung der Führungskräfte und Mitarbeiter für und Aufklärung zur Informationssicherheit sowie erforderliche Schulungen sind eine Grundvoraussetzung zur Erreichung der Sicherheitsziele. Führungskräfte und Mitarbeiter tragen durch verantwortungs- und sicherheitsbewusstes Handeln zur Erreichung der Sicherheitsziele bei. Wirkungsvoll bei IT-Sicherheitsvorfällen und IT-Notfällen handeln Bei Eintritt einer Gefährdung (IT-Sicherheitsereignis) ist zur Abwehr angemessen und geplant zu reagieren, um Schäden möglichst gering zu halten. Die Behandlung von ITSicherheitsvorfällen und IT-Notfällen ist orientiert am BSI IT-Grundschutz zu regeln, regelmäßig zu üben und zu dokumentieren. [gültig ab 01.04.2016] 6. Sicherheitsprozess Informationssicherheitsmanagementsystem (ISMS) Um die angestrebten Sicherheitsziele zu erreichen, ist innerhalb der Staatskanzlei, der Ressorts und des Bayerischen Obersten Rechnungshofes ein Sicherheitsprozess (Informationssicherheitsmanagementsystem, kurz ISMS) orientiert am BSI ITGrundschutz und eigenverantwortlich im Rahmen der Vorgaben des IT-Beauftragten der Bayerischen Staatsregierung einzurichten, dauerhaft zu betreiben und in den übergreifenden Sicherheitsprozess des IT-Beauftragten zu integrieren. Wird innerhalb der Staatskanzlei, der Ressorts oder des Bayerischen Obersten Rechnungshofes bereits ein Sicherheitsprozess für ein IT-System oder eine IT-Umgebung betrieben, so ist dieser Sicherheitsprozess (Informationsverbund) jeweils in einen zentralen Sicherheitsprozess zu integrieren. Zur Initiierung, Planung, Koordinierung, Steuerung und Überprüfung des Sicherheitsprozesses ist grundsätzlich ressortübergreifend sowie innerhalb der Staatskanzlei, der Ressorts und des Bayerischen Obersten Rechnungshofes eine Sicherheitsorganisation orientiert am BSI IT-Grundschutz einzurichten. [gültig ab 01.04.2016] 7. Verantwortlichkeiten und Umsetzung Informationssicherheit ist in alle Geschäftsprozesse und Projekte zu integrieren, bei denen Informationen verarbeitet und Informationstechnik genutzt wird. Die Verantwortung für die Informationssicherheit in der Staatsverwaltung liegt im Rahmen des Ressortprinzips bei den obersten Dienstbehörden. Die Verantwortung für die Umsetzung von Maßnahmen zur Informationssicherheit in der Staatskanzlei, den Ressorts und des Bayerischen Obersten Rechnungshofes liegt bei der Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 18 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_201 4 von 5 04.06.2019 73 jeweiligen Behördenleitung. Für übergreifende IT-Infrastruktursysteme fällt die Verantwortung für deren Sicherheit in die Zuständigkeit des jeweils federführenden Ressorts. Die Vorgaben dieser Leitlinie sind im jeweiligen Zuständigkeitsbereich im Rahmen der verfügbaren Stellen und Mittel in eigener Verantwortung umzusetzen. Aufwand und Nutzen müssen dabei in einem angemessenen Verhältnis zueinander stehen. Die für die Umsetzung erforderliche Bereitstellung zusätzlicher finanzieller und personeller Ressourcen bleibt ggf. künftigen Haushaltsaufstellungen vorbehalten. [gültig ab 01.04.2016] 8. Informationssicherheitsorganisation Der Aufbau der Informationssicherheitsorganisation ist in der Richtlinie zur Informationssicherheitsorganisation (BayITSiR-O) geregelt. [gültig ab 01.04.2016] 9. Durchsetzung Die Einhaltung dieser Leitlinie sowie der IT-Sicherheitsrichtlinien des IT-Beauftragten der Bayerischen Staatsregierung werden im Rahmen des in Nr. 6 genannten Sicherheitsprozesses überprüft. Abweichungen von den IT-Sicherheitsrichtlinien bedürfen einer Genehmigung im Rahmen des Vorhabensmanagements des IT-Beauftragten der Bayerischen Staatsregierung. Bei Verstößen gegen die Vorgaben dieser Richtlinie oder der IT-Sicherheitsrichtlinien ist die betreffende Behörde im Rahmen des in Nr. 6 genannten Sicherheitsprozesses aufzufordern, die Vorgaben in einer angemessenen Frist umzusetzen. Bei anhaltenden Verstößen gegen die Vorgaben ist der Vorfall in die organisatorischen Strukturen des IT-Beauftragten der Bayerischen Staatsregierung zu eskalieren. [gültig ab 01.04.2016] Text gilt seit 01.04.2016 Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 18 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_201 5 von 5 04.06.2019 74 BayITSiR-02 [BayITSiR-02 Betrieb eines Übergangs in das Internet] Text gilt seit 01.03.2006 Bayern 2003.4-F IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung Betrieb eines Übergangs in das Internet[1] BayITSiR-02 Schreiben des Bayerischen Staatsministeriums des Innern Stand: 1. März 2006, Az. IZ7-1074.74-74 [1]Fortgeltung ab 1.1.2016 gem. Ministerratsbeschluss v. 31.5.2016. 1. Einleitung Grundlage dieser IT-Sicherheitsrichtlinie für den Betrieb eines Internetzugangs ist die ITSicherheitsleitlinie (BayITSiLL) sowie die IT-Sicherheitsrahmenrichtlinie für BayKom-Daten (BayITSiR-GL). Die vorliegende IT-Sicherheitsrichtlinie regelt den sicheren Betrieb eines Übergangspunktes in das Internet. Sie gilt für den zentralen und die dezentralen Internetzugänge im Bayerischen Behördennetz. [gültig ab 01.03.2006] 2. Schutzbedarf Jeder Rechner, der am Internet teilnimmt, ist vielfältigen Bedrohungen ausgesetzt. Dazu zählen Viren, Würmer, Trojaner, schädlicher Mobile Code, Sniffer, Port Scanner, Schwachstellen-Scanner oder DoS-Angriffe. Die Zahl der Angriffe und die Qualität der Angriffstechniken nehmen laufend zu. Dies wird an den folgenden Beispielen deutlich: Würmer verbreiten sich innerhalb weniger Stunden global im Internet. Die Abstände zwischen den Updates der Antiviren-Software müssen deshalb erheblich verkürzt werden. Durch Distributed Denial of Service werden Denial-of-Service-Attacken massiver und das Erkennen solcher Angriffe wird erheblich erschwert. Viren und Schadenssoftware können mit Hilfe sogenannter Construction Kits auch von weniger erfahrenen Crackern hergestellt und in Umlauf gebracht werden. Port Scanner und Penetration Tools ermöglichen auf einfache Weise den Einbruch in am Internet angeschlossene Systeme. Dabei werden häufig längst bekannte und behebbare Schwachstellen der Systeme ausgenutzt. Bedrohungen ergeben sich auf Client-Seite durch Schwachstellen in der eingesetzten Software und durch die Benutzung von Diensten oder Verfahren, die prinzipielle Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206 1 von 7 04.06.2019 75 Schwächen aufweisen. Beispiele sind das Einschleppen von Viren über den E-Mail-Client oder die Ausführung von schädlichem Mobile Code im Browser. Auf der Seite der Internet-Server kommt hinzu, dass sie aus dem Internet direkt erreichbar sind. Die Ausnutzung von Schwachstellen kann zu einer Korrumpierung der Systeme führen, die wiederum als Ausgangsbasis für weitere Angriffe genutzt werden kann. Um diesen vielfältigen Bedrohungen entgegenzuwirken, sind die im Folgenden aufgeführten Regelungen einzuhalten. [gültig ab 01.03.2006] 3. Regelungen Erklärtes Ziel ist es, die Zahl der Internetzugänge möglichst klein zu halten und vorhandene dezentrale Übergänge nach Möglichkeit abzubauen. Staatlichen Behörden ist es deshalb grundsätzlich untersagt, neben dem zentral betriebenen Internetzugang andere Zugänge einzurichten und zu betreiben. Kommunale Behörden können in begründeten Fällen eigene Internetzugänge einrichten und nutzen. Am zentralen Internetzugang werden verschiedene Leistungen angeboten, die in den meisten Fällen den Betrieb eigener Internetzugänge in einer Behörde überflüssig machen. Es kann auf Dienste im Internet zugegriffen werden und die Behörde kann auf verschiedene Arten eigene Angebote für das Internet zugänglich machen. Vor der Einrichtung eines dezentralen Internetzugangs ist deshalb zu prüfen, ob die zentral angebotenen Leistungen für die eigenen Bedürfnisse nicht ausreichen. 3.1 Technische Schutzmaßnahmen Der Übergang zum Internet muss über einen festgesetzten und dokumentierten Übergabepunkt erfolgen. An diesem Übergabepunkt ist eine Sicherheitsinstanz zu betreiben. Die wesentliche Komponente der Sicherheitsinstanz ist eine Firewall. In den meisten Fällen muss außerdem eine DMZ eingerichtet werden. Die in der DMZ enthaltenen Server und Proxies sind im Rahmen dieser Richtlinie ebenfalls als Sicherheitskomponenten aufzufassen. 3.1.1 Nutzung von Diensten im Internet und in der DMZ Die Sicherheitsinstanz ermöglicht den Nutzern der Behörde den Zugriff auf explizit freigegebene Dienste im Internet und in der DMZ. Eine Liste mit den aktuell als sicher geltenden Diensten ist der Richtlinie als Anhang beigefügt. Diese wird laufend durch das Sicherheitsteam gepflegt/aktualisiert. Bei bestimmten Diensten muss die Nutzung eingeschränkt werden. Dies kann dazu führen, dass nur bestimmte Benutzer einen Dienst nutzen dürfen und/oder nur bestimmte Server im Internet erreichbar sind. Außerdem kann es notwendig sein, bestimmte Dienste nur mit beschränktem Funktionsumfang zur Verfügung zu stellen. Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206 2 von 7 04.06.2019 76 3.1.2 Angebot von Diensten für Teilnehmer des Internet Ein Internetzugang kann dazu genutzt werden, eigene Dienste für das Internet anzubieten. Für dieses Dienstangebot muss eine DMZ betrieben werden. Es muss sichergestellt werden, dass aus dem Internet nur auf diese DMZ zugegriffen werden kann. Grundsätzlich gilt, dass nur explizit freigegebene Dienste angeboten werden dürfen, alles andere ist zu sperren. Es dürfen nur sichere Dienste angeboten werden. Eine Liste mit aktuell als sicher geltenden Diensten ist der Richtlinie als Anhang beigefügt. Diese wird laufend durch das Sicherheitsteam gepflegt/aktualisiert. 3.1.3 Aufbau der Sicherheitsinstanz Die Sicherheitsinstanz ist grundsätzlich als Application Level Firewall zu realisieren. Sie ist modular aufzusetzen, abhängig von den benötigten Diensten bzw. vom Schutzbedarf. Folgende Module müssen in der Sicherheitsinstanz enthalten sein: Bei der Nutzung von Web-Diensten im Internet ausgehender Internetverkehr ist ein Proxy zu betreiben. Der Proxy muss Bestandteil der Firewall oder der DMZ sein. Bei einem erhöhten Schutzbedarf sollte der Proxy durch URL-Blocker, interne Authentifizierung, Virenschutz und Schutz vor mobilem Code ergänzt werden. Bei der Abwicklung des E-Mail-Verkehrs über den Internetzugang ist ein Virenscanner in der DMZ zu platzieren. Alle eingehenden Mails müssen über diesen Virenscanner laufen und geprüft werden. Außerdem ist sicherzustellen, dass der SMTP-Server nicht als Mail Relay missbraucht werden kann. Ist der Betrieb eines eigenen DNS-Servers nötig, muss für Anfragen aus dem Internet ein extra Server eingerichtet werden, der keine Verbindungen in das LAN initiieren darf. Der DNS-Server muss Bestandteil der Firewall oder der DMZ sein. Alle Server, die von außen erreichbar sein sollen (z.B. für E-Government), müssen in der DMZ angesiedelt sein. Der Zugriff von außen auf Web-Dienste soll nur über einen Reverse Proxy erfolgen. Das Sicherheitsniveau kann durch den Einsatz eines Intrusion Detection Systems erhöht werden. Die Abbildung 1 stellt die Regeln zur Anwendung der einzelnen Module dar. Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206 3 von 7 04.06.2019 77 Abbildung 1: Module der Sicherheitsinstanz Nach der Zusammenstellung der benötigten Schutzmaßnahmen sind die Firewall- Komponenten auszuwählen. Die Behörden sind bei der Auswahl ihrer Produkte frei. Die Produkte müssen eine Zertifizierung nach Common Criteria (CC) [3], mindestens EAL-4 oder vormals nach ITSEC [2], mindestens E3, mit einem für den Einsatzzweck entsprechenden Schutzprofil (siehe Anhang), vorweisen. Eine Vorabstimmung mit dem Bayern-CERT kann zur Konsolidierung der Produkte Bestätigung der Übereinstimmung der erteilten Zertifikate mit den Anforderungen Einheitlichkeit bei der Protokollauswertung Unterstützung bei Computer Sicherheitsvorfällen beitragen. 3.2 Organisatorische Schutzmaßnahmen Die Sicherheitskomponenten müssen gesichert und angemessen verfügbar betrieben werden. Verschiedene Konzepte zur Durchführung eines solchen Betriebes können in [1] eingesehen werden. Im Rahmen der vorliegenden Richtlinie sind die im Folgenden genannten Maßnahmen sicherzustellen. 3.2.1 Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206 4 von 7 04.06.2019 78 Physische Sicherheit Die Sicherheitskomponenten sind in physikalischen Schutzzonen unterzubringen. Der Zugang zu diesen Schutzzonen ist auf eine geschlossene Benutzergruppe zu reduzieren. 3.2.2 Audit Die technischen und organisatorischen Schutzmaßnahmen sind regelmäßig zu überprüfen. Die Überprüfung ist zu dokumentieren. Dabei ist in erster Linie sicherzustellen, dass die aktuellen Maßnahmen die Sicherheitsvorgaben erfüllen. Die Vorgaben ergeben sich aus der IT-Sicherheitsleitlinie, der vorliegenden IT-Sicherheitsrichtlinie sowie dem ITSicherheitskonzept der Behörde. Ergänzend kann das Bayern-CERT oder ein externer Dienstleister mit der Durchführung eines Audit beauftragt werden. 3.2.3 Wirksamkeitsprüfungen Die Wirksamkeit der Schutzmaßnahmen muss durch regelmäßige interne und externe Penetrationstests geprüft werden. Das Bayern-CERT ist berechtigt, solche Wirksamkeitsprüfungen durchzuführen (vgl. BayITSiR-08). 3.2.4 Technische Überwachung Keine Sicherheitskomponente bietet einen absoluten Schutz. Aus diesem Grund verbleibt stets ein Restrisiko. Dies bedeutet, dass es möglich ist, eine Sicherheitskomponente durch einen erfolgreichen Angriff zu überwinden. Ernst zu nehmende Angriffe sind über die Protokolldateien der Sicherheitskomponenten zu erkennen. Diese sind auszuwerten. Die Auswertung kann durch geeignete Filter- und Alarmmechanismen unterstützt werden. Die Mechanismen und anfallenden Daten müssen mindestens arbeitstäglich überprüft und ausgewertet werden. 3.2.5 Aktualisierung und Schwachstellenüberwachung Alle Sicherheitskomponenten einschließlich der in der DMZ betriebenen Systeme sind durch regelmäßige Updates auf aktuellem Stand zu halten. Die Betreiber der Sicherheitskomponenten sind dafür verantwortlich, aktuelle Schwachstellen der Sicherheitskomponenten zu erkennen und diese abzustellen. Durch das Einspielen der Updates oder Patches ist mit Störungen des Betriebes zu rechnen. Es gilt das in der ITSicherheitsleitlinie festgeschriebene Prinzip Sicherheit vor Verfügbarkeit. Die Verantwortlichen haben ihre Aktivitäten und Prüfungen zu dokumentieren. Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206 5 von 7 04.06.2019 79 3.2.6 Reaktion auf IT-Sicherheitsvorfälle Bei verdächtigen IT-Sicherheitsvorfällen ist der Beauftragte für IT-Sicherheit unmittelbar und unverzüglich einzuschalten. Er arbeitet mit dem Bayern-CERT bei der Behebung des Sicherheitsvorfalls zusammen. [gültig ab 01.03.2006] 4. Literatur [1] Bundesamt für Sicherheit in der Informationstechnik (BSI). IT Grundschutzhandbuch. Bundesanzeiger Verlagsgesellschaft mbH. http://www.bsi.bund.de/gshb [2] Bundesamt für Sicherheit in der Informationstechnik (BSI). Zertifizierungen. http://www.bsi.bund.de/zertifiz/index.htm [3] Common Criteria Portal: http://www.commoncriteriaportal.org/products.html [gültig ab 01.03.2006] Anhang Stand: 01.03.2006 1. Ausgehender Verkehr in das Internet (internes Netz oder DMZ Internet) Protokoll/Dienst Ports Einschränkungen http 80/tcp, weitere tcp-Ports nur über Proxy, siehe 3.1.3 https 443/tcp, weitere tcp-Ports nur über Proxy, siehe 3.1.3 smtp 25/tcp nur bei eigener technischer Verantwortung über Mail Domain DNS 53/udp, 53/tcp keine SSH 22/tcp nur zur Administration einzelner Server im Internet ftp-Download 20/tcp, 21/tcp nur über Proxy, siehe 3.1.3 ftp-Upload 20/tcp, 21/tcp nur zur Administration einzelner Server im Internet Telnet 23/tcp nur Zugriff auf 193.22.114.242 ISO-TSAP 102/tcp nur Zugriff auf Bayerische Staatsbibliothek Z39.50 31310/tcp nur Zugriff auf Rechner der Deutschen Bibliothek OPAC 3025/tcp nur Zugriff auf OPAC-Server BVBCAT 2404/tcp nur Zugriff auf BVBCATBibliotheksserver LDAP 389/tcp nur am zentralen Internetübergang, nur Zugriff auf X.500-Verzeichnis des Bundes ntp 123/udp nur am zentralen Internetübergang, nur Zugriff auf Zeitserver von BT Genolite 866/tcp nur Zugriff auf Banken-Server HBCI 3000/tcp nur Zugriff auf Banken-Server Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206 6 von 7 04.06.2019 80 Gewan 1601/tcp, 7869/tcp nur Zugriff auf Gewan-Server Elster 8000/tcp nur Zugriff auf Elster-Server Weatherimage 6001/tcp, 8081/tcp nur Zugriff auf Weatherimage- Server Niederschlagsmessnetz 9094/tcp nur am zentralen Internetübergang, eingeschränkter Benutzerkreis, nur Zugriff auf Niederschlagsmessnetz- Server Echo Request ICMP Typ 8 nur ausgehende Pings ICMP-Fehlernachrichten ICMP nur aus der DMZ, nur einzelne Fehlercodes 2. Eingehender Verkehr in eine DMZ (Internet DMZ) Protokoll/Dienst Ports Einschränkungen smtp 25/tcp nur bei eigener technischer Verantwortung über Domain, siehe 3.1.3 dns 53/udp, 53/tcp nur bei eigener technischer Verantwortung über Domain, siehe 3.1.3 http 80/tcp, andere tcp-Ports keine https 443/tcp, andere tcp-Ports keine HITP 2222/tcp 2225/tcp, andere tcp-Ports nur Zugriff auf einzelne Server sftp, scp 22/tcp nur Datei-Upload, nur Zugriff von einzelnen Systemen IPsec 500/udp, 50/ip, 51/ip, 57/ip keine Echo Reply ICMP Typ 0 nur ausgehende Pings ICMPFehlernachrichten ICMP nur einzelne Fehlercodes 3. Zertifizierungen Für eine Firewallkomponente muss bei der CC-EAL-Zertifizierung ein Schutzprofil mit mindestens gleichwertigen Vorgaben wie die des Traffic-Filter Firewall Protection Profile For Medium Robustness Environments, Version 1.1 verwendet werden. (siehe http://www.commoncriteriaportal.org/pp_BP.html#BP oder http://www.niapccevs. org/cc%2Dscheme/pp/) [gültig ab 01.03.2006] Text gilt seit 01.03.2006 Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206 7 von 7 04.06.2019 81 BayITSiR-06 [BayITSiR-06 Fernwartung und externe Anwendungen] Text gilt seit 01.01.2005 Bayern 2003.4-F IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung Fernwartung und externe Anwendungen[1] BayITSiR-06 Schreiben des Bayerischen Staatsministeriums des Innern Stand: 1. Januar 2005, Az. IZ7-1074.74-74 [1]Fortgeltung ab 1.1.2016 gem. Ministerratsbeschluss v. 31.5.2016. 1. Einleitung Grundlage dieser IT-Sicherheitsrichtlinie für Fernwartung und externe Anwendungen ist die IT-Sicherheitsleitlinie (BayITSiLL) sowie die IT-Sicherheitsrahmenrichtlinie für BayKom-Daten (BayITSiR-GL). Bei externen Anwendungen im Sinne dieser Richtlinie werden Serverdienste von Mitgliedern der Teilnehmergruppe 3 (vgl. BayITSiR-GL) in deren Netz den Mitgliedern der Teilnehmergruppen 1 und 2 zur Verfügung gestellt. Es sind nur die unter Abschnitt 2 aufgeführten Zugangsmöglichkeiten zulässig. [gültig ab 01.01.2005] 2. Erläuterungen 2.1 Zugangsmöglichkeiten Fernwartung und Zugang zu externen Anwendungen kann im Rahmen des Bayerischen Behördennetzes über unterschiedliche Wege realisiert werden. 2.1.1 Regelzugang Der Dienstleister wird über den Netzprovider und das Extranet-/Dienstleister-VPN in das Bayerische Behördennetz integriert. Die konkreten Regelungen finden sich in der Richtlinie für das Extranet-/Dienstleister-VPN (BayITSiR-09). Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 25 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_210 1 von 3 04.06.2019 82 2.1.2 Ausnahmefälle In begründeten Ausnahmefällen kann der Zugang auf folgenden Wegen realisiert werden: a) Wählverbindungen Zentrale Einwahl Zentrale Einwahllösung zum Behördennetz. Dezentrale Einwahl Eigene Einwahllösung der Behörde. On-Demand Der Dienstleister, der die Fernwartung anbietet, wird über ein Modem, das mit dem zu wartenden System seriell verbunden ist, vermittelt. Es ist die Sicherheitsrichtlinie für Wählverbindungen (BayITSiR-10) zu beachten. b) IP-VPN Der Zugang erfolgt über einen sicheren Tunnel über das Internet. Es ist die Sicherheitsrichtlinie für IP-VPNs (BayITSiR-04) zu beachten. 2.2 Schutzbedarf Bei der Fernwartung und bei der Nutzung externer Anwendungen besteht keine Kontrolle über die eingesetzten Endsysteme. Deshalb sind in der Regel nur organisatorische Schutzmaßnahmen zur Einhaltung des Sicherheitsniveaus möglich. Häufig sind diese Zugänge schlecht dokumentiert. Ein vergessener oder unbeaufsichtigter Fernwartungszugang kann zur Korruption eines Systems oder eines ganzen Netzes führen. [gültig ab 01.01.2005] 3. Regelungen Um ein einheitlich hohes Sicherheitsniveau im Bayerischen Behördennetz halten zu können, sind die folgenden Regelungen für alle Zugänge verpflichtend. 3.1 Organisatorische Schutzmaßnahmen 3.1.1 Minimierung Die Zahl der begründeten Ausnahmefälle für die Zugänge muss auf ein absolutes Minimum beschränkt werden. Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 25 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_210 2 von 3 04.06.2019 83 3.1.2 Dokumentation Die Zugänge sind zu dokumentieren. Aus der Dokumentation müssen mindestens der Nutzer des Zugangs und die frei geschalteten Verbindungen hervorgehen. 3.1.3 Audit Die technischen und organisatorischen Schutzmaßnahmen sind regelmäßig zu überprüfen. Die Überprüfung ist zu dokumentieren. Dabei ist in erster Linie sicherzustellen, dass die aktuellen Maßnahmen die Sicherheitsvorgaben erfüllen. Die Vorgaben ergeben sich aus der IT-Sicherheitsleitlinie, der vorliegenden IT-Sicherheitsrichtlinie sowie dem ITSicherheitskonzept der Behörde. Ergänzend kann das Bayern-CERT oder ein externer Dienstleister mit der Durchführung eines Audit beauftragt werden. 3.1.4 Reaktion auf IT-Sicherheitsvorfälle Bei verdächtigen IT-Sicherheitsvorfällen ist der Beauftragte für IT-Sicherheit unmittelbar und unverzüglich einzuschalten. Er arbeitet mit dem Bayern-CERT bei der Behebung des Sicherheitsvorfalls zusammen. 3.1.5 Löschung nicht mehr benötigter Accounts Wird ein Zugang nicht mehr benötigt, sind die zugehörigen Freigaben und/oder der zugehörige Account vom zuständigen Betreiber zeitnah zu löschen. [gültig ab 01.01.2005] Text gilt seit 01.01.2005 Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 25 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_210 3 von 3 04.06.2019 84 BayITSiR-09 [BayITSiR-09 Extranet- /Dienstleister-VPN] Text gilt seit 01.01.2005 Bayern 2003.4-F IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung Extranet-/Dienstleister-VPN[1] BayITSiR-09 Schreiben des Bayerischen Staatsministeriums des Innern Stand: 1. Januar 2005, Az. IZ7-1074.74-74 [1]Fortgeltung ab 1.1.2016 gem. Ministerratsbeschluss v. 31.5.2016. 1. Einleitung Grundlage dieser IT-Sicherheitsrichtlinie für das Extranet-/Dienstleister-VPN ist die ITSicherheitsleitlinie (BayITSiLL) sowie die IT-Sicherheitsrahmenrichtlinie für BayKom-Daten (BayITSiR-GL). Die vorliegende IT-Sicherheitsrichtlinie regelt den Zugang von Dritten (Dienstleistern) zum Bayerischen Behördennetz, soweit sie nicht den Teilnehmergruppen 1 oder 2 (vgl. BayITSiR-GL) zugeordnet werden können. Die Dienstleistung muss für Teilnehmer aus den Teilnehmergruppen 1 oder 2 erbracht werden. Ziel ist es, die Zugangswege für das Tätigwerden von Dienstleistern im Bayerischen Behördennetz zu konsolidieren (vor allem in den IT-administrativen Bereichen wie z.B. Fernwartung, proaktives Management und Überwachung der Systeme) und dadurch auch diese Dienste den Behörden über deren Behördennetzanschluss zur Verfügung zu stellen. Eigene Einrichtungen zur Absicherung derartiger externer Zugänge werden entbehrlich (zentrale Sicherheitsinstanz). Außerdem sollen zentrale Übergänge zu anderen Netzen oder Anwendungen soweit möglich und sinnvoll ebenfalls über dieses VPN realisiert werden. [gültig ab 01.01.2005] 2. Erläuterungen 2.1 Begriffsdefinitionen Dienstleister im Sinne dieser Richtlinie sind Institutionen und Unternehmen, die für Stellen aus den Teilnehmergruppen 1 oder 2 (vgl. BayITSiR-GL) auf deren Veranlassung Dienstleistungen erbringen. Die zu erbringenden Leistungen dürfen nicht nur vorübergehender Art sein. Als Dienstleistungen werden dabei definiert: Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 26 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_213 1 von 5 04.06.2019 85 IT-Dienstleistungen im weitesten Sinne, auch soweit sie die Bereitstellung von Anwendungen mit Bezug zum Bayerischen Behördennetz umfassen. Sonstige Dienstleistungen, zu deren Erbringung der Anschluss am Bayerischen Behördennetz zwingende Voraussetzung ist. Bei der Einzelfallprüfung wird ein strenger Maßstab angelegt. 2.2 Schutzbedarf Auf die IT-Sicherheitspolitik der Teilnehmer am Extranet-/Dienstleister-VPN kann nicht oder nur bedingt Einfluss genommen werden. Dies mindert das Sicherheitsniveau im Extranet-/Dienstleister-VPN aus Sicht des Bayerischen Behördennetzes. [gültig ab 01.01.2005] 3. Regelungen 3.1 Verfahren 3.1.1 Zulassung eines Dienstleisters Vereinbarung 1 Für die Teilnahme eines Dienstleisters am Extranet-/Dienstleister-VPN ist eine Zulassung durch das Bayerische Staatsministerium des Innern (StMI) bzw. durch eine von ihm beauftragte Stelle erforderlich. Die Initiative für die Zulassung kann nur von Behörden ausgehen, die den Teilnehmergruppen 1 oder 2 (vgl. BayITSiR-GL) angehören und über einen Anschluss an das Bayerische Behördennetz verfügen. Abweichend hiervon kann die genehmigende Stelle auch ohne Meldung einer Behörde zentral eine Zulassung von Dienstleistern ermöglichen (Bestandsfälle, Massendienstleister). Der Dienstleister muss im Rahmen eines bestehenden oder neu zu schließenden Vertrages oder aufgrund ihm übertragener hoheitlicher Aufgaben für die meldende Behörde tätig werden. Für die Zulassung sind der genehmigenden Stelle folgende Unterlagen vorzulegen: eine vom Dienstleister unterschriebene Erklärung zur Einhaltung der unter Nr. 3.2 genannten Vorschriften (Vereinbarung 1, siehe Graphik unter Nr. 3.1.6) eine vom Dienstleister und der Behörde unterschriebene Erklärung über die benötigten technischen Freigaben (technisches Formblatt) einen vom Dienstleister unterschriebenen Anschlussauftrag für den Netzprovider. Hat der Dienstleister bereits über das Extranet-/Dienstleister-VPN Zugang zum Bayerischen Behördennetz, ist der für die Genehmigung zuständigen Stelle lediglich die vom Dienstleister und der Behörde unterschriebene Erklärung über die benötigten technischen Freigaben (technisches Formblatt) vorzulegen. Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 26 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_213 2 von 5 04.06.2019 86 Die für die Genehmigung zuständige Stelle informiert den Dienstleister und die betroffene Behörde über das Prüfungsergebnis. 3.1.2 Änderungsmitteilung Die Stelle, für die die Dienstleistung erbracht werden soll, zeigt Änderungen der Dienstleistung (Art und Umfang) bei der für die Genehmigung zuständigen Stelle an. Wird eine Dienstleistung eingestellt, so ist dies der für die Genehmigung zuständigen Stelle ebenfalls von der Behörde, für die die Dienstleistung erbracht wurde, anzuzeigen. 3.1.3 Vereinbarung zwischen Dienstleister und Behörde Vereinbarung 2 Es wird empfohlen, zwischen der Behörde und dem Dienstleister eine Dienstleistungsvereinbarung abzuschließen. 3.1.4 Vertrag zwischen Dienstleister und Behördennetzprovider Nach Zulassung wird der Anschlussauftrag von der genehmigenden Stelle an den Behördennetzprovider weitergeleitet. 3.1.5 Dienstleistungen für Gemeinden, Verwaltungsgemeinschaften und Zweckverbände Sollen Dienstleister für nicht anschlussberechtigte Teilnehmer der Teilnehmergruppe 2 (Gemeinden, Verwaltungsgemeinschaften, Zweckverbände) im Rahmen kommunaler Behördennetze (KommBN) tätig werden, so bleibt es für die Zulassung eines Dienstleisters beim beschriebenen Verfahren mit folgender Maßgabe: Die Meldung erfolgt ebenfalls durch die zuständige Kreisverwaltungsbehörde, die insoweit für ihre Teilnehmer am KommBN tätig wird. 3.1.6 Struktur der Beziehungen (beteiligte Stellen) Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 26 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_213 3 von 5 04.06.2019 87 3.1.7 Zentrale Übergänge Werden zentrale Übergänge zu anderen Netzen über das Extranet-/Dienstleister-VPN realisiert, so entfällt das Zulassungsverfahren. Die Beauftragung eines zentralen Übergangs erfolgt unter Beteiligung des Bayern-CERT direkt durch die zuständige Dienststelle eines Teilnehmers aus der Teilnehmergruppe 1. 3.2 Einzuhaltende Vorschriften Der Dienstleister hat sich in der Vereinbarung gegenüber dem Freistaat Bayern zur Einhaltung der Inhalte dieser Richtlinie (BayITSiR-09) der IT-Sicherheitsrichtlinie für Fernwartung und externe Anwendungen (BayITSiR- 06) der IT-Sicherheitsrahmenrichtlinie für BayKom-Daten (BayITSiR-GL) der IT-Sicherheitsleitlinie für die bayerische Staatsverwaltung (BayITSiLL) zu verpflichten. Die Pflicht zur Einhaltung weiterer gesetzlicher Vorschriften (z.B. datenschutzrechtliche Regelungen), bleibt hiervon unberührt. Verstöße können zum Ausschluss des Dienstleisters aus dem Extranet-/Dienstleister-VPN führen. 3.3 Umfang der Zugangsberechtigung In jedem Falle werden für Dienstleister die Nutzungsmöglichkeiten im Bayerischen Behördennetz auf das unbedingt erforderliche Ausmaß beschränkt. Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 26 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_213 4 von 5 04.06.2019 88 [gültig ab 01.01.2005] Text gilt seit 01.01.2005 Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 26 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_213 5 von 5 04.06.2019 89 BayITSiR-GL [BayITSiR-GL ITSicherheitsrahmenrichtlinie für BayKom- Daten] Text gilt seit 01.12.2007 Bayern 2003.4-F IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung IT-Sicherheitsrahmenrichtlinie für BayKom-Daten[1] BayITSiR-GL Schreiben des Bayerischen Staatsministeriums des Innern Stand: 1. Dezember 2007, Az. IZ7-1074.74-74 Anlage 1 Dokumente zur IT-Sicherheit (Stand: 01.12.2007) Anlage 2 Glossar (Stand: 01.01.2005) [1]Fortgeltung ab 1.1.2016 gem. Ministerratsbeschluss v. 31.5.2016. 1. Einleitung Gemäß Nr. 1, Nr. 5.2 und Nr. 6 der IT-Sicherheitsleitlinie für die bayerische Staatsverwaltung vom 1. Januar 2007 sind detaillierte und diese konkretisierende ITSicherheitsrichtlinien für alle sicherheitsrelevanten Themengebiete zu erstellen. Die vorliegende IT-Sicherheitsrahmenrichtlinie für die bayerische Staatsverwaltung (BayITSiRGL) ist das Grundlagendokument, auf das die IT-Sicherheitsrichtlinien, Sicherheitskonzepte und Sicherheitsregeln Bezug nehmen. Die Struktur des gesamten Sicherheitsregelwerks stellt sich wie folgt dar: Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 1 von 11 04.06.2019 90 [gültig ab 01.12.2007] 2. Grundsätze der IT-Sicherheitsdokumente 2.1 Grundlage Grundlage für die IT-Sicherheitsdokumente ist die IT-Sicherheitsleitlinie (BayITSiLL). Sie macht Vorgaben zu den folgenden Bereichen: Zielgruppe und Geltungsbereich IT-Sicherheitsziele Prinzipien der IT-Sicherheit IT-Sicherheitsorganisation IT-Sicherheitsprozess Durchsetzung Sicherheitsdokumentation Im Rahmen des in der IT-Sicherheitsleitlinie definierten IT-Sicherheitsprozesses sind detaillierte Sicherheitsrichtlinien zu erarbeiten. Eine Übersicht aller Dokumente zur IT-Sicherheit findet sich in der Anlage 1. 2.2 Dokumentenkontrolle Die Dokumente zur IT-Sicherheit unterliegen einer Dokumentenkontrolle. Sie werden Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 2 von 11 04.06.2019 91 im Intranet des Bayerischen Behördennetzes veröffentlicht, soweit sie von allgemeiner Bedeutung sind, im Rahmen der technischen Weiterentwicklung des Behördennetzes laufend fortgeschrieben, bei Ungültigkeit unverzüglich widerrufen und aufbewahrt, um für rechtliche Zwecke oder für Zwecke der Wissenserhaltung verfügbar zu sein. [gültig ab 01.12.2007] 3. Teilnehmer- und Netzstrukturen des Behördennetzes 3.1 Erläuterung Zur Abgrenzung der unterschiedlichen Aufgabenstellungen bzw. Zuständigkeiten der Teilnehmer am Behördennetz erfolgt eine Einteilung in Teilnehmergruppen (TG). An diesen orientiert sich die logische Struktur des Behördennetzes, die Untergliederung des Bayerischen Behördennetzes in unterschiedliche Virtuelle Private Netze (VPN) und die Koppelung dieser VPN über eine zentrale Sicherheitsinstanz (vgl. BayITSiR-01). 3.2 Definition von Teilnehmergruppen (TG) Es werden folgende Teilnehmergruppen definiert: Teilnehmergruppen Erläuterung TG 1 Staatliche Behörden, unmittelbare Landesverwaltung TG 2 Kommunaler Bereich: Kreisverwaltungsbehörden (KVB), Bezirke, kommunale Spitzenverbände, Gemeinden, Verwaltungsgemeinschaften, Zweckverbände1 TG 3 Diese Teilnehmergruppe umfasst alle sonstigen Teilnehmer am Bayerischen Behördennetz und die Übergänge zu anderen Netzen und deren Dienste. Der Zugang zum Bayerischen Behördennetz kann erst nach einer Berechtigungsprüfung im Einzelfall erfolgen, vgl. auch BayITSiR- 09. 3.3 Bildung von Virtuellen Privaten Netzen Auf Grundlage der Teilnehmergruppen werden folgende VPN gebildet: Staatliches VPN Kommunales VPN Extranet-/Dienstleister-VPN Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 3 von 11 04.06.2019 92 Die Zugehörigkeit zu einem VPN richtet sich immer nach der Zugehörigkeit zu einer Teilnehmergruppe (siehe unten) und niemals nach der Art des Zugangs (z.B. Einwahl). 3.3.1 Staatliche VPN Innerhalb des Staatlichen VPN sind darüber hinaus noch weitere fachliche, technische und sicherheitsrelevante Konstellationen zu berücksichtigen: a) Fachliche Zuordnung Dienststellen aus den Bereichen Justiz, Polizei und Steuerverwaltung sind jeweils einem eigenen VPN zugeordnet. b) Inanspruchnahme weiterer Netzprovider Bei Inanspruchnahme eines weiteren Providers ist vonseiten des auftraggebenden Teilnehmers sicherzustellen, dass das vom Provider zur Verfügung gestellte Netz nur von Teilnehmern der TG 1 genutzt werden kann. c) Betrieb eines eigenen Internetzugangs (bzw. weiterer Netzübergänge) Soweit sich die Zuordnung einer staatlichen Behörde zu einem VPN nicht aus der fachlichen Zuordnung ergibt und der Betrieb eines eigenen Internetzugangs in begründeten Ausnahmefällen unabdingbar ist, wird diese Behörde für den Gültigkeitszeitraum der Ausnahme dem Staatlichen Neben-VPN zugeordnet. Durch die Zuordnung zum Staatlichen Neben-VPN wird die generelle Any-to-Any- Kommunikation im staatlichen Bereich für Behörden mit eigenem Internetzugang eingeschränkt, weil sämtlicher Verkehr vom und zum Neben-VPN über die Sicherheitsinstanz geleitet wird. Das Staatliche VPN der TG 1 untergliedert sich somit in: Polizei-VPN Justiz-VPN Steuer-VPN Staatliches Haupt-VPN Staatliches Neben-VPN 3.3.2 Kommunales VPN Nur die Kreisverwaltungsbehörden, die Bezirke sowie die kommunalen Spitzenverbände werden unmittelbar über das Kommunale VPN an das Behördennetz angeschlossen. Die Landratsämter ermöglichen allen übrigen Teilnehmern der TG 2 im Rahmen von Kommunalen Behördennetzen (KommBN) die Teilnahme am Behördennetz. Auch im Kommunalen VPN sind die sicherheitsrelevanten Konstellationen (Betrieb eines eigenen Internetzugangs, Inanspruchnahme eines weiteren Providers) vorzufinden. Im Kommunalen VPN gilt der Grundsatz einer Any-to-Any-Kommunikation. Dieser kann durch die Einrichtung einer standardisierten Access Control List (ACL) auf dem Zugangsrouter zum Behördennetz eingeschränkt werden. Dadurch sind nur Kommunikationsverbindungen möglich, die über die Sicherheitsinstanz verlaufen. 3.3.3 Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 4 von 11 04.06.2019 93 Extranet-/Dienstleister-VPN Auf Initiative eines Teilnehmers aus TG 1 oder TG 2 können auch weitere Institutionen Anschluss an das Behördennetz erhalten. Sie erhalten den Zugang über das Extranet- /Dienstleister-VPN. Die Detailregelungen finden sich in der IT-Sicherheitsrichtlinie BayITSiR-09. 3.3.4 Logische Netztopologie Es ergibt sich somit die folgende logische Netztopologie: Eine detaillierte Beschreibung der Netztopologie findet sich in der IT-Sicherheitsrichtlinie BayITSiR-01 Koppelung der VPN. 1[Amtl. Anm.:] Gemeinden, Verwaltungsgemeinschaften und Zweckverbände können beim Provider keinen eigenen Zugang zum Bayerischen Behördennetz beantragen. Sie werden ausschließlich über eine KVB angeschlossen. [gültig ab 01.12.2007] 4. Verbindlichkeit Um ein einheitlich hohes Sicherheitsniveau im Bayerischen Behördennetz halten zu können, sind die IT-Sicherheitsrichtlinien verpflichtend. Insbesondere gelten diese Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 5 von 11 04.06.2019 94 Regelungen für die am Kommunalen VPN angeschlossene Teilnehmergruppe 2. Eine KVB kann ihren zugehörigen Kommunen, Verwaltungsgemeinschaften (VG) und Einrichtungen einen Zugang zum Bayerischen Behördennetz ermöglichen. Diese Kommunen, VG und Einrichtungen bilden zusammen mit der KVB ein Kommunales Behördennetz (KommBN). Die KVB hat in diesem Fall sicherzustellen, dass die IT-Sicherheitsrichtlinien im KommBN entsprechend zur Anwendung kommen. [gültig ab 01.12.2007] Anlage 1 Dokumente zur IT-Sicherheit (Stand: 01.12.2007) Grundlagendokumente zur IT-Sicherheit BayITSiLL: IT-Sicherheitsleitlinie für die bayerische Staatsverwaltung (Stand: 01.01.2007) BayITSiR-O: Richtlinie zur IT-Sicherheitsorganisation der bayerischen Staatsverwaltung (Stand: 01.01.2007) BayITSi-GO: Geschäftsordnung für das Sicherheitsteam der bayerischen Staatsverwaltung (Stand: 01.01.2007) BayITSiR-GL: IT-Sicherheitsrahmenrichtlinie für BayKom-Daten (Stand: 01.12.2007) IT-Sicherheitsrichtlinien für BayKom-Daten BayITSiR-01: Koppelung der VPN (Stand: 01.01.2005) BayITSiR-02: Betrieb eines Übergangs in das Internet (Stand: 01.03.2006) BayITSiR-03: Einsatz drahtloser Netze (Stand: 01.07.2005) BayITSiR-04: Betrieb von IP-basierenden Virtuellen Privaten Netzen (IP-VPN) (Stand: 01.03.2006) BayITSiR-05: Telearbeits- und mobile Arbeitsplätze (Stand: 01.01.2005) BayITSiR-06: Fernwartung und externe Anwendungen (Stand: 01.01.2005) BayITSiR-07: Einsatz mobiler Geräte (Stand: 01.01.2005) BayITSiR-08: Durchführung von Penetrationstests (Stand: 01.01.2005) BayITSiR-09: Extranet-/Dienstleister-VPN (Stand: 01.01.2005) BayITSiR-10: Sicherheitsrichtlinie für Wählverbindungen im Bayerischen Behördennetz (Stand: 01.05.2004) BayITSiR-11: Nutzung von Anwendungen über das Internet unter Verwendung von SSL/TSL (Stand: 04.10.2006) BayITSiR-12: E-Mail-Verkehr im BYBN (Stand 01.12.2007) Sicherheitskonzepte BayITSiK-01: Aufbau und Betrieb Kommunaler Behördennetze (KommBN) (Stand: 01.01.2005) Sicherheitsregeln für den einzelnen Geschäftsprozess Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 6 von 11 04.06.2019 95 BayITSR-xx: [gültig ab 01.12.2007] Anlage 2 Glossar (Stand: 01.01.2005) Account (Benutzerkonto): In einem Benutzerkonto werden alle Informationen zur Benutzerkennung zusammengefasst. Dazu zählen unter anderem der für die Anmeldung erforderliche Benutzername und das Kennwort, die Gruppen, denen der Benutzer angehört, sowie die Rechte des Benutzers. AH (Authentication Header): Bei Kommunikationsprotokollen Element von Übertragungsrahmen (Paketen, Datagrammen, Frames usw.) mit Steuernachrichten für die Abwicklung der Authentifikation. Beispiel: Authentication Header in den Protokollspezifikationen der IETFArbeitsgruppe IPSec. Audit: Prüfung eines Systems durch unabhängige Fachleute. Authentizität: Echtheit, Zuverlässigkeit, Glaubwürdigkeit, Gesichertheit. Authentifizierung: Auch als Authentifikation bezeichnet. Allgemein für Verifizierungsverfahren zur Sicherstellung der Authentizität einer Person (Teilnehmer, Benutzer), einer Nachricht oder einer Einrichtung (z.B. Server). Bayerisches Behördennetz: IT-gestützte Kommunikationsinfrastruktur für die bayerische Staatsund Kommunalverwaltung. BayKom: Bayerische Kommunikationsnetze (Netzinfrastruktur für Sprach-, Mobilfunk-, Daten- und Internet-Kommunikation). BayKom-Daten: Datennetz der Bayerischen Kommunikationsnetze. BayKom-Internet: Internetanschlüsse über den Behördennetzprovider. Common Criteria (CC): Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit der Informationstechnik. Sie beschreiben abstrakt die Anforderungen, nach denen Produkten in einer Hierarchie von Vertrauenswürdigkeitsstufen das Sicherheitsniveau zertifiziert werden kann. Diese Evaluation Assurance Levels (EAL) erstrecken sich von EAL 1 (einfache Tests) bis EAL 7 (formallogisch verifizierte Hochsicherheitslösung). Die Common Criteria sind als Fortentwicklung von ITSEC (Europa) und TCSEC (USA) in die veröffentlichte Norm ISO/IEC 15408 eingegangen und sollen die internationale Vergleichbarkeit der Zertifizierung von Produkten und Systemen auf dem Weltmarkt sicherstellen. CERT (Computer Emergency Response Team): Computer Notfall- und Aktionsteam. Daten: Hierunter fallen alle Informationen, die auf IT-Systemen oder Speichermedien gespeichert oder verarbeitet werden. DMZ (Demilitarized Zone): Demilitarisierte Zone ist ein Schlagwort für ein Netzsegment, das als neutrale Zone zwischen dem internen Netz eines Unternehmens und dem äußeren öffentlichen Netz eingerichtet wird. Dadurch soll verhindert werden, dass Benutzer von außen direkt auf einen Server mit Unternehmensdaten zugreifen können. Perimeter Network (Grenznetz) ist eine weitere oft verwendete Bezeichnung für die DMZ. Man unterscheidet zwei Varianten: Die DMZ ist Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 7 von 11 04.06.2019 96 entweder ein Netzwerksegment zwischen zwei hintereinander liegenden Firewalls oder über ein dezidiertes Interface an einer Firewall angeschlossen. DNS (Domain Name System): Ein spezieller Verzeichnisdienst, der für die Benennung von Objekten in vernetzten Systemen entworfen wurde. Im Internet dient das DNS zur Verwaltung von Rechnernamen und Mailadressen. ESP-Verfahren (Encapsulating Security Payload): In den Protokollspezifikationen der IETFArbeitsgruppe IPSec für getunnelte Übertragungen über IP-Netze Paketkomponente mit Aufgaben im Rahmen der Verschlüsselung von Nutzdaten vorgesehen. Extranet: Ein Extranet definiert den Informationsaustausch zwischen Intranets und Partnern über ein privates oder öffentliches Netz (TCP/IP-basierend). Fernwartung: Die Fernwartung ist ein System zur Wartung räumlich entfernt stehender Rechner. Die Verbindung zum fernen Computer wird üblicherweise über PC/Modem und das öffentliche Telefonnetz aufgebaut. Auch eine Fernwartung über Funkstrecken und das Internet ist möglich. FIPS 140-2: Vom NIST (National Institute of Standards and Technology, USA) werden die Federal Information Processing Standards (FIPS) für den gesamten amerikanischen Regierungsbereich herausgegeben, wenn von der Bundesregierung zwingende Anforderungen zum Beispiel für Sicherheit und Interoperabilität bestehen und keine akzeptablen Industriestandards oder Lösungen verfügbar sind. FIPS 140-2 erstreckt sich auf die Anforderungen an Kryptomodule in Sicherheitssystemen zur Sicherung von sensitiven Informationen. FTP: Das File Transfer Protocol (RFC 959) wird benötigt, um Daten zwischen unterschiedlichen Betriebssystemen zu transferieren (z.B. UNIX, Windows). Mit FTP können sowohl zeichencodierte als auch binäre Dateien übertragen werden. HTTP (Hypertext Transfer Protocol): Im World Wide Web (Web) das am häufigsten verwendete Kommunikationsprotokoll. Das HTTP wird zur Übertragung von HTML-Seiten (Hypertext Markup Language) zwischen Browsern, Programmen mit grafischer Oberfläche zum Betrachten der Webseiten und Webservern benutzt. IEC (International Electronics Commission): Internationales Standardisierungsgremium auf allen Gebieten der Elektrotechnik und Elektronik. IEEE (Institute of Electrical and Electronics Engineers): Gremium, das Internet-Standards verabschiedet. IETF (Internet Engineering Task Force): Gremium, das Internet-Standards verabschiedet. Integrität: Die physische und logische Abgeschlossenheit von Informationssystemen zum Schutz vor unberechtigter Veränderung oder der unberechtigten Erstellung von Informationen. Internet: Abgeleitet von engl. international (international) und network (Netz). Globales, dezentral organisiertes und strukturiertes Rechnernetz mit einheitlichem Adressierungsschema, das heute weltweit mit hohen Zuwachsraten über 300 Mio. Benutzer miteinander verbindet und neben dem ausgebauten Telefonsystem die wichtigste Basisinfrastruktur für den internationalen elektronischen Austausch von Informationen darstellt. Intranet: Ein Intranet ist ein lokales Netzwerk (LAN), das auf dem Internet-Protokoll TCP/IP beruht. Ein Intranet wird vorwiegend nicht öffentlich in Firmen und Verwaltungen genutzt. IP: Das Internet Protocol (IP) ist das wichtigste Protokoll (RFC 791) der TCP/IP-Protokollfamilie der Internetschicht (entsprechend Schicht 3 des OSI-Referenzmodells) mit Funktionen zur Leitwegund Flusskontrolle. Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 8 von 11 04.06.2019 97 IPSec (IP Security Protokoll): Hilfsmittel, das es erlaubt, über ein Netzwerk auf andere Computer/Netze gesichert zuzugreifen, unter Verwendung kryptografischer Mechanismen. ISO (International Standard Organization): Die Internationale Organisation für Standardisierung. ITSEC (Information Technique System Evaluation Criteria): Sicherheitskriterien zur Bewertung von IT-Systemen; Richtlinie, die 1991 die deutschen ITS-Kriterien ablöste. ITSEC gilt in mehreren europäischen Staaten zur Prüfung von Hardware und Software. KoAIuK: Ressortübergreifender Koordinierungssausschuss für grundsätzliche und geschäftsübergreifende Angelegenheiten der Informations- und Kommunikationstechnik (IuK) (Art. 6 IuKG). KommBN (Kommunale Behördennetze): Landkreisextranets bestehend aus den Gemeinden, Städten, Verwaltungsgemeinschaften sowie deren Zusammenschlüssen (z.B. Zweckverbände). NETBIOS (Network Basic Input/Output System): Von IBM 1984 eingeführte, hardwareunabhängige Anwendungsprogrammierschnittstelle (Application Program Interface, API), die sich über die Schichten 3 bis 5 des OSI-Referenzmodells erstreckt. Dabei ist die Schicht 3 (Network Layer) nur als Nullschicht implementiert, sodass Routingfunktionen nicht zur Verfügung stehen. Das inzwischen technisch überholte NetBIOS eine Weiterentwicklung von NetBIOS ist das NetBEUI (NetBIOS Extended User Interface) stellt für ein Telekommunikationsnetz dieselben grundlegenden Funktionen zur Verfügung wie das BIOS (Basic Input Output System) für einen Computer. NNTP (Network News Transfer Protocol oder Network News Transport Protocol): Ein zum OSIReferenzmodell (Open Systems Interconnection) konformes Kommunikationsprotokoll. Das auf den Internetprotokollen IP und TCP aufbauende NNTP (RFC 977) dient der Übertragung von News- Artikeln. Es findet häufig in lokalen Netzwerken oder Wide Area Networks (WAN), beispielsweise bei Verbindungen zwischen Universitäten als Alternative zum UUCP (UNIX-to-UNIX Copy Program), Verwendung. NTP (Network Time Protocol): In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll bzw. - dienst (RFC 1305) zur Synchronisation der Uhrzeit in den Rechnern des Internet. Das NTP ist technisch realisiert durch synchronisierte (Coordinated universal time) Time-Server an verschiedenen Punkten des Internet. OSI (Open Systems Interconnection)-Referenzmodell: Auch als ISO-Modell, OSI-Architektur und Ebenenmodell bezeichnet. Ein von der ISO (International Standard Organization) entwickelter globaler Rahmen für die Standardisierung Offener Kommunikation zwischen kooperierenden Systemen. Der Rahmen zerlegt, losgelöst von speziellen Implementierungen, den Funktionskomplex Kommunikation in sieben schichtdiskrete hierarchische Teilprozesse, die in die sieben OSI-Schichten eingebettet sind. Die in den Schichten residierenden Instanzen der kooperierenden Systeme erbringen Kommunikationsdienste für die jeweils nächsthöhere Schicht. Dabei stützen sie sich auf die Dienste der darunter liegenden Schichten ab. Die Bedingungen für die schichtbezogene Kooperation unter den verbundenen Systemen reglementiert das Schichtenprotokoll. Penetration: Versuch der Umgehung der Sicherheitsfunktionen eines IT-Systems. Penetrationstest: In der Informationstechnologie (IT) und Telekommunikation (TK) ein Sicherheitscheck, in dem IT/TK-Systeme unter Zuhilfenahme aktueller sicherheitstechnischer Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 9 von 11 04.06.2019 98 Angriffsmuster untersucht werden und somit deren Standhaftigkeit gegenüber potenziellen Angreifern getestet werden. POP (Point of Presence): Zugangspunkte (Access Nodes) im Internet und in den in Internet- Technologie aufgebauten Intranets. POP3 (Post Office Protocol): Standard zur Übermittlung von E-Mails. Port (Schnittstelle, Anschluss): Unter Port versteht man eine Schnittstelle, mit der ein Server mit dem Netzwerk kommuniziert. Der Port ist daher auch immer Teil der Adresse des Host-Rechners, die aber weggelassen werden kann, wenn es sich um den Standardport handelt. Bei HTTP lautet der Standardport 80 und wird durch einen Doppelpunkt an die Adresse angehängt. RFC (Request for Comments): Sammlung von Empfehlungen, Artikeln und Standards (RFCStandards), in denen netzrelevante Konventionen und allgemeine Informationen zum Internet festgehalten sind. Als RFC sind auch die Anregungen und Verbesserungsvorschläge bezeichnet, die die Teilnehmer des Internets beim so genannten RFC-Editor, http://www.rfc-editor.org, einreichen. Soll ein RFC einmal zu einem Standard werden, wird er vom IAB (Internet Architecture Board) geprüft und gegebenenfalls zum Proposed Standard (Standardvorschlag) erklärt. Sobald genügend Erfahrungen mit dem neuen Standard gesammelt wurden frühestens aber nach einem halben Jahr kann daraus ein Draft Standard (Standardentwurf) werden. Nach einer angemessenen Zeit kann dann daraus wiederum ein mit einer Ordnungsnummer versehener Internet Standard d.h. vollwertiger RFC-Standard werden, von denen bislang weit über Tausend veröffentlicht wurden. Sicherheit: Schutz von Informationsquellen vor unberechtigten Änderungen, Zerstörungen oder Preisgabe unabhängig davon, ob sie absichtlich oder unabsichtlich erfolgten. Sicherheitsinstanz: Die wesentliche Komponente einer Sicherheitsinstanz ist eine Firewall. In den meisten Fällen muss außerdem eine DMZ eingerichtet werden. Die in der DMZ enthaltenen Server und Proxies sind ebenfalls als Komponenten der Sicherheitsinstanz aufzufassen. Bestandteile einer Sicherheitsinstanz können außerdem eine Virenschleuse und ähnliche Komponenten sein. SMTP (Simple Mail Transfer Protocol): In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll (RFC 821) für die Übermittlung elektronischer Nachrichten (E-Mail). Diese werden vom Anwender zunächst mittels eines Mailprogramms (User Agent, UA) erzeugt und zu einem lokalen Mitteilungstransfersystemteil (Message Transfer Agent, MTA) geschickt, der die Nachrichten mit dem SMTP zum MTA des Zielsystems weiterleitet, wo der Empfänger sie mit seinem Mailprogramm lesen kann. SSH (Secure Shell): SSH stellt ein sicheres Remote-Login-Protokoll dar, dessen ursprüngliches Ziel es war, die Berkeley Remote-Dienste (rsh, rlogin, rcp, ) zu ersetzen. Heute wird SSH u. a. als Ersatz für Telnet eingesetzt und ermöglicht damit einen gesicherten Zugriff auf einen anderen Rechner unter Verwendung kryptografischer Mechanismen. SSL/TLS (Secure Socket Layer/Transport Layer Security): Hilfsmittel, das es erlaubt, über ein Netzwerk auf andere Computer gesichert zuzugreifen, unter Verwendung kryptografischer Mechanismen. Diese Technik kommt überwiegend für gesicherte Webverbindungen zum Einsatz. TCSEC (Trusted Computer System Evaluation Criteria): Titel eines vom US-amerikanischen Verteidigungsministerium (Department of Defense, DoD) im Jahr 1985 veröffentlichten Standardisierungsdokuments mit Evaluierungskriterien für die Prüfung und Bewertung der Sicherheit der Informationstechnik. Das Dokument, auch Orange Book genannt, spezifiziert ein Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 10 von 11 04.06.2019 99 System mit mehreren Sicherheitsstufen, die von A1 (höchste Sicherheitsstufe) bis D (niedrigste Sicherheitsstufe) reichen und jeweils die Fähigkeit angeben, die ein Computersystem aufweisen muss, um den Schutz der gefährdeten Daten sicherzustellen. Telnet: In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll (RFC 854), mit dem sich der Benutzer bei einem fernen Rechner (Host) im Internet anmelden kann (Remote Login). Telnet realisiert eine Client-Server-Beziehung zwischen der lokalen Telnet-Software (Client) und der fernen Software (Server), d.h. der Benutzer kann sein Terminal an seinem lokalen Rechner benutzen, um auf einem fernen Rechner zu arbeiten. Das Terminal erscheint auf dem fernen Rechner wie ein lokal angeschlossenes Terminal. Telearbeit: Arbeit am Computer in der Wohnung der Mitarbeiter, online oder offline. Topologie: Die Netztopologie ist die geometrische Ausdehnung der Netzknoten und der physikalischen Verbindungswege zwischen ihnen und stellt somit die Struktur der Nachbarschaftsbeziehungen und der Übertragungsmöglichkeiten in einem Netz dar. Die Topologie wird auch als Netzstruktur oder Netzform bezeichnet. Verfügbarkeit: Die Gewährleistung, dass berechtigte Nutzer innerhalb einer angemessenen Zeit Zugriff auf gespeicherte Informationen erhalten und diese entsprechend ihrer Zugriffsberechtigung weiterverarbeiten können. Vertraulichkeit: Der Schutz von Informationen gegen unautorisierte Zugriffe von innen und außen. VPN (Virtual Private Network): Virtuelles Privates Netz (Geschlossene Benutzergruppe) in der Regel auf Basis von Festverbindungen (Frame Relay, ATM) oder Internet. WLAN (Wireless Local Area Network): Allgemein für vollständig oder teilweise drahtlos aufgebautes LAN-System (Local Area Network), das anstelle eines Kabels elektromagnetische oder optische Funkübertragungen einsetzt. Primäre Vorteile sind die schnelle und kostengünstige Installation sowie die leichte Ortsveränderung (ggf. sogar mobil) der Endgeräte. Standardisierungsprojekte: IEEE (802.11). [gültig ab 01.12.2007] Text gilt seit 01.12.2007 Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204 11 von 11 04.06.2019 100 Anlage Dienststellen Dienststelle E-Mail Telefon Telefax Straße PLZ Ort ADBV Abensberg poststelle@adbv-abe.bayern.de +49 9443 924-0 +49 9443 924-200 Aventinusplatz 6 93326 Abensberg ADBV Aichach poststelle@adbv-aic.bayern.de +49 8251 8738-0 +49 8251 8738-50 Münchener Straße 7 86551 Aichach ADBV Amberg poststelle@adbv-am.bayern.de +49 9621 96543-0 +49 9621 96543-20 Kirchensteig 1 92224 Amberg ADBV Ansbach poststelle@adbv-an.bayern.de +49 981 203637-0 +49 981 203637-10 Dollmannstraße 56 91522 Ansbach ADBV Aschaffenburg (Hauptstelle) poststelle@adbv-ab.bayern.de +49-6021-42945-0 +49-6021-42945-70 Stengerstraße 2 63741 Aschaffenburg ADBV Aschaffenburg (Außenstelle Klingenberg a.Main) poststelle-klb@adbvab. bayern.de +49-9372-9996-0 +49-9372-9996-48 Wilhelmstraße 90 63911 Klingenberg a.Main ADBV Augsburg poststelle@adbv-a.bayern.de +49-821-242290-0 +49 821 242290-100 Fronhof 12 86152 Augsburg ADBV Bad Kissingen (Hauptstelle) poststelle@adbv-kg.bayern.de +49 971 7275-0 +49 971 7275-10 Im Luitpoldpark 1 97688 Bad Kissingen ADBV Bad Kissingen (Außenstelle Bad Neustadt a.d.Saale) poststelle-nes@adbvkg. bayern.de +49 9771 6105-0 +49 9771 6105-66 Otto-Hahn-Straße 18 97616 Bad Neustadt a.d.Saale ADBV Bamberg (Hauptstelle) poststelle@adbv-ba.bayern.de +49 951 9533-0 +49 951 9533-100 Schranne 3 96049 Bamberg ADBV Bamberg (Außenstelle Forchheim) poststelle-fo@adbvba. bayern.de +49 9191 69875-0 +49 9191 6987530 Dechant-Reuder-Straße 8 91301 Forchheim ADBV Bayreuth poststelle@adbv-bt.bayern.de +49-921-76468-0 +49 921 76468-12 Wittelsbacherring 15 95444 Bayreuth ADBV Cham poststelle@adbv-cha.bayern.de +49 9971 848-6 +49 9971 848-888 Ludwigstraße 23 93413 Cham ADBV Coburg poststelle@adbv-co.bayern.de +49-9561-8047-0 +49-9561-8047-10 Wettiner Anlage 1 96450 Coburg ADBV Dachau (Hauptstelle) poststelle@adbv-dah.bayern.de +49 8131 376-3 +49 8131 376-450 Krankenhausstraße 9 85221 Dachau ADBV Dachau (Außenstelle Fürstenfeldbruck) poststelle-ffb@adbvdah. bayern.de +49 8141 518-0 +49 8141 518-102 Stockmeierweg 8 82256 Fürstenfeldbruck ADBV Dillingen a.d.Donau poststelle@adbv-dlg.bayern.de +49 9071 5004-0 +49 9071 5004-44 Königstraße 15 89407 Dillingen a.d.Donau ADBV Donauwörth poststelle@adbv-don.bayern.de +49 906 70588-0 +49 906 70588-500 Berger Vorstadt 16 86609 Donauwörth ADBV Ebersberg poststelle@adbv-ebe.bayern.de +49 8092 2099-0 +49 8092 2099-160 Dr.-Wintrich-Straße 7 85560 Ebersberg ADBV Erding poststelle@adbv-ed.bayern.de +49 8122 960-0 +49 8122 960-150 Dorfener Straße 15 85435 Erding ADBV Erlangen poststelle@adbv-er.bayern.de +49 9131 306-0 +49 9131 306-250 Nägelsbachstraße 67 91052 Erlangen 101 Anlage Dienststellen Dienststelle E-Mail Telefon Telefax Straße PLZ Ort ADBV Freilassing poststelle@adbv-frls.bayern.de +49 8654 4637-0 +49 8654 4637-37 Fürstenweg 19 83395 Freilassing ADBV Freising poststelle@adbv-fs.bayern.de +49 8161 5391-0 +49 8161 5391-50 Domberg 20 85354 Freising ADBV Freyung (Hauptstelle) poststelle@adbv-frg.bayern.de +49 8551 9613-0 +49 8551 9613-96 Grafenauer Straße 17 94078 Freyung ADBV Freyung (Außenstelle Zwiesel) poststelle-zwi@adbvfrg. bayern.de +49 9922 859-0 +49 9922 859-222 Dr.-Schott-Straße 63 94227 Zwiesel ADBV Günzburg poststelle@adbv-gz.bayern.de +49 8221 3660-0 +49 8221 3660-19 Augsburger Straße 1 89312 Günzburg ADBV Immenstadt i.Allgäu (Hauptstelle) poststelle@adbvimmen. bayern.de +49 8323 8005-0 +49 8323 8005-55 Marienplatz 12 87509 Immenstadt i.Allgäu ADBV Immenstadt i.Allgäu (Außenstelle Kempten (Allgäu)) poststelle-ke@adbvimmen. bayern.de +49 831 52228-0 +49 831 52228-40 Herrenstraße 8 87439 Kempten (Allgäu) ADBV Ingolstadt (Hauptstelle) poststelle@adbv-in.bayern.de +49 841 9359-0 +49 841 9359-199 Rechbergstraße 8 85049 Ingolstadt ADBV Ingolstadt (Außenstelle Eichstätt) poststelle-ei@adbv-in.bayern.de +49 8421 9728-0 +49 8421 9728-12 Residenzplatz 4 85072 Eichstätt ADBV Kulmbach (Hauptstelle) poststelle@adbv-ku.bayern.de +49-9221-9072-0 +49-9221-9072-10 Georg-Hagen-Straße 17 95326 Kulmbach ADBV Kulmbach (Außenstelle Kronach) poststelle-kc@adbvku. bayern.de +49-9261-6200-0 +49-9261-6200-20 Kaulanger 1 96317 Kronach ADBV Landau a.d.Isar (Hauptstelle) poststelle@adbv-lan.bayern.de +49 9951 9801-0 +49 9951 9801-50 Marienplatz 5a 94405 Landau a.d.Isar ADBV Landau a.d.Isar (Außenstelle Deggendorf) poststelle-deg@adbvlan. bayern.de +49 991 37013-0 +49 991 37013-66 Franz-Josef-Strauß-Str. 5 94469 Deggendorf ADBV Landsberg am Lech (Hauptstelle) poststelle@adbv-ll.bayern.de +49 8191 930-0 +49 8191 930-105 Roßmarkt 198 86899 Landsberg am Lech ADBV Landsberg am Lech (Außenstelle Starnberg) poststelle-sta@adbvll. bayern.de +49 8151 990-0 +49 8151 990-150 Vogelanger 1 82319 Starnberg ADBV Landshut poststelle@adbv-la.bayern.de +49 871 40472-000 +49 871 40472-100 Gestütstraße 10 84028 Landshut ADBV Lohr a.Main poststelle@adbv-loh.bayern.de +49 9352 8794-0 +49 9352 8794-333 Erthalstraße 1 97816 Lohr a.Main ADBV Marktoberdorf poststelle@adbvmod. bayern.de +49 8342 7009-0 +49 8342 7009-220 Kurfürstenstraße 19 87616 Marktoberdorf ADBV Memmingen (Hauptstelle) poststelle@adbv-mm.bayern.de +49 8331 9648-0 +49 8331 9648-10 Bismarckstraße 1 87700 Memmingen 102 Anlage Dienststellen Dienststelle E-Mail Telefon Telefax Straße PLZ Ort ADBV Memmingen (Außenstelle Mindelheim) poststelle-mn@adbvmm. bayern.de +49 8261 9917-0 +49 8261 9917-41 Memminger Straße 18 87719 Mindelheim ADBV Miesbach poststelle@adbv-mb.bayern.de +49 8025 2826-0 +49 8025 2826-36 Münchner Straße 1 83714 Miesbach ADBV Mühldorf a.Inn poststelle@adbvmue. bayern.de +49 8631 169-0 +49 8631 169-150 Stadtplatz 48 84453 Mühldorf a.Inn ADBV München poststelle@adbv-m.bayern.de +49 89 21638-0 +49 89 21638-140 Prinzregentenstraße 5 80538 München ADBV Nabburg (Hauptstelle) poststelle@adbv-nab.bayern.de +49-9433-2405-0 +49-9433-2405-49 Obertor 12 92507 Nabburg ADBV Nabburg (Außenstelle Neunburg vorm Wald) poststelle-nen@adbvnab. bayern.de +49 9672 9206-0 +49 9672 9206-33 Wassergasse 13 92431 Neunburg vorm Wald ADBV Neumarkt i.d.OPf. poststelle@adbv-nm.bayern.de +49 9181 467-0 +49 9181 467-200 Woffenbacher Straße 32 92318 Neumarkt i.d.OPf. ADBV Neustadt a.d.Aisch poststelle@adbv-nea.bayern.de +49 9161 30708-0 +49 9161 30708-60 Parkstraße 10 91413 Neustadt ADBV Nürnberg (Hauptstelle) poststelle@adbv-n.bayern.de +49 911 462595-0 +49 911 462595-26 Flaschenhofstraße 59 90402 Nürnberg ADBV Nürnberg (Außenstelle Hersbruck) poststelle-heb@adbvn. bayern.de +49 9151 8367-0 +49 9151 8367-66 Nikolaus-Selnecker-Platz 8 91217 Hersbruck ADBV Pfaffenhofen a.d.Ilm poststelle@adbv-paf.bayern.de +49 8441 891-0 +49 8441 891-222 Kellerstraße 6 85276 Pfaffenhofen a.d.Ilm ADBV Pfarrkirchen (Hauptstelle) poststelle@adbv-pan.bayern.de +49 8561 977-0 +49 8561 977-180 Rennbahnstraße 9 84347 Pfarrkirchen ADBV Pfarrkirchen (Außenstelle Simbach a.Inn) poststelle-sim@adbvpan. bayern.de +49 8571 9132-0 +49 8571 9132-32 Münchner Straße 2 84359 Simbach ADBV Regensburg (Hauptstelle) poststelle@adbv-r.bayern.de +49-941-8102-0 +49-941-8102-200 Franziskanerplatz 10 93059 Regensburg ADBV Regensburg (Außenstelle Hemau) poststelle-hem@adbvr. bayern.de +49 9491 951-0 +49 9491 951-13 Kirchengasse 12 93155 Hemau ADBV Rosenheim (Hauptstelle) poststelle@adbv-ro.bayern.de +49 8031 366-0 +49 8031 366-150 Münchener Straße 23 83022 Rosenheim ADBV Rosenheim (Außenstelle Wasserburg a.Inn) poststelle-ws@adbvro. bayern.de +49 8071 9278-0 +49 8071 9278-150 Auf der Burg 6 83512 Wasserburg a.Inn ADBV Schwabach (Hauptstelle) poststelle@adbv-sc.bayern.de +49 9122 1804-0 +49 9122 1804-160 Theodor-Heuss-Straße 61 91126 Schwabach 103 Anlage Dienststellen Dienststelle E-Mail Telefon Telefax Straße PLZ Ort ADBV Schwabach (Außenstelle Weißenburg i.Bay.) poststelle-wug@adbvsc. bayern.de +49 9141 8645-0 +49 9141 8645-68 Geheimrat-Dr.-Doerfler-Straße 53 91781 Weißenburg i.Bay. ADBV Schweinfurt poststelle@adbv-sw.bayern.de +49 9721 20938-0 +49 9721 20938-60 Mainberger Straße 14 97422 Schweinfurt ADBV Straubing poststelle@adbv-sr.bayern.de +49 9421 977-0 +49 9421 977-200 Wittelsbacherhöhe 3 94315 Straubing ADBV Traunstein poststelle@adbv-ts.bayern.de +49 861 9872-0 +49 861 9872-150 Salinenstraße 4 83278 Traunstein ADBV Vilshofen an der Donau (Hauptstelle) poststelle@adbv-vof.bayern.de +49 8541 9607-0 +49 8541 9607-30 Kapuzinerstraße 11 94474 Vilshofen an der Donau ADBV Vilshofen an der Donau (Außenstelle Passau) poststelle-pa@adbvvof. bayern.de +49 851 95560-0 +49 851 95560-60 Giselastraße 14 94032 Passau ADBV Weiden i.d.OPf. (Hauptstelle) poststelle@adbv-wen.bayern.de +49 961 631836-0 +49 961 631836-10 Gabelsbergerstraße 2 92637 Weiden ADBV Weiden i.d.OPf. (Außenstelle Tirschenreuth) poststelle-tir@adbvwen. bayern.de +49 9631 7043-0 +49 9631 7043-111 Mitterteicher Straße 16a 95643 Tirschenreuth ADBV Weilheim i.OB poststelle@adbv-wm.bayern.de +49 881 986-0 +49 881 986-123 Hofstraße 21 82362 Weilheim i.OB ADBV Wolfratshausen (Hauptstelle) poststelle@adbv-wor.bayern.de +49 8171 81833-0 +49 8171 81833-99 Heimgartenstraße 3 82515 Wolfratshausen ADBV Wolfratshausen (Außenstelle Bad Tölz) poststelle-toel@adbvwor. bayern.de +49 8041 7893-0 +49 8041 7893-10 Bahnhofstraße 10 83646 Bad Tölz ADBV Wunsiedel (Hauptstelle) poststelle@adbv-wun.bayern.de +49 9232 9902-0 +49 9232 9902-22 Von-Kotzau-Straße 4 95632 Wunsiedel ADBV Wunsiedel (Außenstelle Hof) poststelle-ho@adbvwun. bayern.de +49 9281 7280-0 +49 9281 7280-38 Klostertor 1 95028 Hof ADBV Würzburg (Hauptstelle) poststelle@adbv-wue.bayern.de +49 931 3906-0 +49 931 3906-555 Weißenburgstraße 10 97082 Würzburg ADBV Würzburg (Außenstelle Kitzingen) poststelle-kt@adbvwue. bayern.de +49 9321 1351-0 +49 9321 1351-49 Ritterstraße 25 97318 Kitzingen 104 Projekt-Nr.: Aktenzeichen: Projektname: Vereinbarung zur Auftragsverarbeitung zwischen und nachfolgend Verantwortlicher nachfolgend Auftragsverarbeiter - beide nachfolgend gemeinsam Vertragsparteien - wird die folgende Vereinbarung zur Auftragsverarbeitung geschlossen: 2019MRE000003 H 1620.2.1-964 Kartenzahlungsgeräte für die ÄDBV Freistaat Bayern, vertreten durch das Landesamt für Digitalisierung, Breitband und Vermessung 105 Inhaltsverzeichnis Inhaltsverzeichnis 2 Präambel 3 1 Anwendungsbereich 4 2 Konkretisierung des Auftragsinhalts 4 3 Verantwortlichkeit und Weisungsbefugnis 4 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter 6 5 Technische und organisatorische Maßnahmen und deren Kontrolle 6 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter 8 7 Löschung und Rückgabe von Daten 8 8 Subunternehmen 9 9 Datenschutzkontrolle 10 10 Anweisungs-, empfangs- und kontrollberechtigte Personen 10 11 Schlussbestimmungen 10 Anhang 1 11 Niederschrift über die Verpflichtungserklärung 11 Anhang 2 13 Technische und organisatorische Maßnahmen 13 1 Technische und organisatorische Sicherheitsmaßnahmen 13 2 Innerbehördliche oder innerbetriebliche Organisation des Auftragsverarbeiters 13 3 Konkretisierung der Einzelmaßnahmen 14 Anhang 3 17 Muster eines Löschungsprotokolls 17 Anhang 4 18 Liste der anweisungs-, empfangs- und kontrollberechtigte Personen 18 2 106 Präambel Die Vertragsparteien sind mit dem Zuschlag ein Auftragsverarbeitungsverhältnis eingegangen. Um die sich hieraus ergebenden Rechte und Pflichten gemäß den Vorgaben der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Bayerischen Datenschutzgesetzes (BayDSG) und gegebenenfalls der Abgabenordnung (AO) zu konkretisieren, schließen die Vertragsparteien die nachfolgende Vereinbarung. 3 107 1 Anwendungsbereich Die Vereinbarung findet Anwendung auf die Verarbeitung aller personenbezogener Daten (im Folgenden: Daten) i.S.v. Art. 4 Nr. 1, 2 DSGVO, die Gegenstand des Vertrages sind oder im Rahmen von deren Durchführung anfallen oder dem Auftragsverarbeiter bekannt werden. Nicht unter den Anwendungsbereich fallen Daten von Mitarbeitern des Auftragsverarbeiters, soweit sie ausschließlich das Beschäftigungsverhältnis mit dem Auftragsverarbeiter betreffen. 2 Konkretisierung des Auftragsinhalts 3 Verantwortlichkeit und Weisungsbefugnis (1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Der Verantwortliche ist im Rahmen dieser Vereinbarung zur Auftragsverarbeitung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO). Der Verantwortliche kann jederzeit die Herausgabe, Berichtigung, Anpassung, Löschung und Einschränkung der Verarbeitung der Daten verlangen. Die Einrede des Zurückbehaltungsrechts i.S.v. 273 BGB wird hinsichtlich der für den Verantwortlichen verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. (2) Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in dieser Vereinbarung vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar. (3) Zur Gewährleistung des Schutzes der Rechte der betroffenen Personen unterstützt der Auftragsverarbeiter den Verantwortlichen angemessen, insbesondere durch die Gewährleistung geeigneter technischer und organisatorischer Maßnahmen. 4 Gegenstand und Dauer der Auftragsvereinbarung sowie Umfang, Art und Zweck der vorgesehenen Verarbeitung von Daten bestimmen sich nach dem in den Vergabeunterlagen enthaltenen EVB-IT Systemvertrag H1620.2.1-964 "73 Kartenzahlungsgeräte für die ÄDBV" sowie der Leistungsbeschreibung. 108 (4) Soweit sich eine betroffene Person zwecks Geltendmachung eines Betroffenenrechts unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten. (5) Der Auftragsverarbeiter darf Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen verarbeiten, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder des Mitgliedstaates, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Eine Weisung ist die auf einen bestimmten Umgang des Auftragsverarbeiters mit Daten gerichtete schriftliche, elektronische oder mündliche Anordnung des Verantwortlichen. Die Anordnungen sind zu dokumentieren. Die Weisungen werden zunächst durch diese Vereinbarung definiert und können von dem Verantwortlichen danach in dokumentierter Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden. (6) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie von Seiten des Verantwortlichen bestätigt oder geändert wird. (7) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder die betroffene Person darf der Auftragsverarbeiter nur nach vorheriger ausdrücklicher schriftlicher Zustimmung durch den Verantwortlichen erteilen. Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. (8) Der Verantwortliche führt das Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 DSGVO. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Wunsch Informationen zur Aufnahme in das Verzeichnis zur Verfügung. Der Auftragsverarbeiter führt entsprechend den Vorgaben des Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung. 5 109 (9) Die Verarbeitung der Daten im Auftrag des Verantwortlichen findet ausschließlich auf dem Gebiet der Europäischen Union statt. Eine Verarbeitung in einem Staat außerhalb des in Satz 1 genannten Territoriums ist nur zulässig, wenn sichergestellt ist, dass unter Berücksichtigung der Voraussetzungen des Kapitels V der DSGVO das durch die DSGVO gewährleistete Schutzniveau nicht unterlaufen wird und bedarf der vorherigen ausdrücklichen schriftlichen Zustimmung des Verantwortlichen. Die grundlegenden Voraussetzungen für die Rechtmäßigkeit der Verarbeitung bleiben unberührt. (10) Der Auftragsverarbeiter stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten. Eine Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Telearbeit, Heimarbeit, Home-Office, mobiles Arbeiten) ist nicht zulässig. 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter (1) Der Auftragsverarbeiter stellt gem. 1 des Verpflichtungsgesetzes (VerpflG) sicher, dass sich die zur Verarbeitung der Daten befugten Personen zum Datenschutz und gegebenenfalls zur Wahrung des Steuergeheimnisses verpflichtet haben und weist dies dem Verantwortlichen nach. Dies umfasst auch die Belehrung über die in diesem Auftragsverarbeitungsverhältnis bestehende Weisungs- und Zweckbindung. Der Anhang 1 wird Gegenstand dieser Vereinbarung. (2) Die Vertragsparteien unterstützen sich gegenseitig beim Nachweis und der Dokumentation der ihnen obliegenden Rechenschaftspflicht im Hinblick auf die Grundsätze ordnungsgemäßer Datenverarbeitung einschließlich der Umsetzung der notwendigen technischen und organisatorischen Maßnahmen (Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen hierzu bei Bedarf entsprechende Informationen zur Verfügung. (3) Der Auftragsverarbeiter hat eine/n Datenschutzbeauftragte/n zu benennen, die/der ihre/seine Tätigkeit entsprechend den gesetzlichen Vorschriften ausübt. Die Kontaktdaten der/des Datenschutzbeauftragten sind dem Verantwortlichen zum Zwecke der direkten Kontaktaufnahme mitzuteilen. (4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde im Rahmen ihrer Zuständigkeit bei dem Auftragsverarbeiter anfragt, ermittelt oder sonstige Erkundigungen einzieht. 5 Technische und organisatorische Maßnahmen und deren Kontrolle (1) Die Vertragsparteien vereinbaren die in dem Anhang 2 zu dieser Vereinbarung niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen. Der Anhang 2 wird Gegenstand dieser Vereinbarung. 6 110 (2) Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in dem Anhang 2 festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. (3) Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der in dieser Vereinbarung getroffenen und der gesetzlichen Vorgaben erforderlich sind. Er wird insbesondere Überprüfungen/ Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und deren Durchführung unterstützen. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann dabei auch durch Vorlage eines aktuellen Testats, von Berichten hinreichend qualifizierter und unabhängiger Instanzen (z.B. Wirtschaftsprüfer, unabhängige Datenschutzauditoren), durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO, einer Zertifizierung nach Art. 42 DSGVO oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über den Ausschluss von genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 und jede andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise unverzüglich zu unterrichten. (4) Der Verantwortliche kann sich jederzeit zu Prüfzwecken in den Betriebsstätten des Auftragsverarbeiters zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der gesetzlichen Vorgaben oder der zur Durchführung dieser Vereinbarung erforderlichen technischen und organisatorischen Erfordernisse überzeugen. (5) Der Auftragsverarbeiter stellt dem Verantwortlichen darüber hinaus alle erforderlichen Informationen zur Verfügung, die sie für die Prüfungen nach Absatz 4 und 5 sowie für eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der Daten (Datenschutz-Folgenabschätzung i.S.d. Art. 35 DSGVO) benötigen. (6) Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Stands der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. 7 111 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter Der Auftragsverarbeiter unterrichtet den Verantwortlichen umgehend bei schwerwiegenden Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen diese Vereinbarung sowie gesetzliche Datenschutzbestimmungen im Hinblick auf die Daten des Verantwortlichen. Dies gilt insbesondere im Hinblick auf die Meldepflicht nach Art. 33 Abs. 2 DSGVO sowie auf korrespondierende Pflichten des Verantwortlichen nach Art. 33 und Art. 34 DSGVO. Der Auftragsverarbeiter sichert zu, den Verantwortlichen erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Verantwortlichen darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. 3 dieser Vereinbarung durchführen. 7 Löschung und Rückgabe von Daten (1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen. (2) Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch den Verantwortlichen, jedoch spätestens mit Beendigung des Vertrags, hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigte Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung des Verantwortlichen datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Ein Löschungsprotokoll (vgl. Anhang 3) ist dem Verantwortlichen auf Anforderung vorzulegen. (3) Der Auftragsverarbeiter kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen bis zu deren Ende auch über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben. Für die nach Satz 1 aufbewahrten Daten gelten nach Ende der Aufbewahrungsfrist die Pflichten nach Absatz 2. 8 112 8 Subunternehmen (1) Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Subunternehmen) nur mit vorheriger ausdrücklicher schriftlicher Zustimmung des Verantwortlichen in Anspruch nehmen. Die zur Erfüllung dieser Vereinbarung hinzugezogenen Subunternehmen sind in einer Anlage im Einzelnen zu bezeichnen. Mit deren Beauftragung erklärt sich der Verantwortliche einverstanden. Nicht als Leistungen von Subunternehmen im Sinne dieser Regelung gelten Dienstleistungen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. (2) Wenn Subunternehmen durch den Auftragsverarbeiter eingeschaltet werden, hat der Auftragsverarbeiter sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Subunternehmen so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter entspricht und alle vertraglichen und gesetzlichen Vorgaben beachtet werden; dies gilt insbesondere auch im Hinblick auf den Einsatz geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus der Verarbeitung. (3) Dem Verantwortlichen sind in der vertraglichen Vereinbarung mit dem Subunternehmen Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung einzuräumen. Ebenso ist der Verantwortlichen berechtigt, auf schriftliche Anforderung vom Auftragsverarbeiter Auskunft über den Inhalt des mit dem Subunternehmen geschlossenen Vertrages und die darin enthaltene Umsetzung der datenschutzrelevanten Verpflichtungen des Subunternehmens zu erhalten. (4) Kommt das Subunternehmen seinen datenschutzrechtlichen Verpflichtungen nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Subunternehmens. Der Auftragsverarbeiter hat in diesem Falle auf Verlangen des Verantwortlichen die Beschäftigung des Subunternehmens ganz oder teilweise zu beenden oder das Vertragsverhältnis mit dem Subunternehmen zu lösen, wenn und soweit dies nicht unverhältnismäßig ist. 9 113 9 Datenschutzkontrolle Der Auftragsverarbeiter verpflichtet sich, der/dem Datenschutzbeauftragten des Verantwortlichen sowie der zuständigen Aufsichtsbehörde des Verantwortlichen zur Erfüllung der gesetzlichen zugewiesenen Aufgaben im Zusammenhang mit diesem Auftrag jederzeit Zugang zu den üblichen Geschäftszeiten zu gewähren. Der Auftragsverarbeiter unterwirft sich zusätzlich zu der für ihn bestehenden gesetzlichen Datenschutzaufsicht der Kontrolle der für den Verantwortlichen bestehenden Datenschutzaufsicht und der Kontrolle durch die/den Datenschutzbeauftragten des Verantwortlichen mit Ausnahme der Bereiche, die keinerlei Bezug zur Auftragserfüllung haben. Er duldet insbesondere Betretungs-, Einsichts- und Fragerechte der Genannten einschließlich der Einsicht in gegebenenfalls durch das Steuergeheimnis oder Berufsgeheimnisse geschützte Unterlagen. Er wird seine Mitarbeiter anweisen, mit den Genannten zu kooperieren, insbesondere deren Fragen wahrheitsgemäß und vollständig zu beantworten. Die nach Gesetz bestehenden Verschwiegenheitspflichten und Zeugnisverweigerungsrechte der Genannten bleiben davon unberührt. 10 Anweisungs-, empfangs- und kontrollberechtigte Personen Die gegenüber dem Auftragsverarbeiter weisungs-, empfangs- und kontrollberechtigten Personen sind dem Auftragsverarbeiter durch den Verantwortlichen schriftlich zu benennen. Der Auftragsverarbeiter hat diesen nach Identitätsprüfung zur Ausübung ihrer Funktion in Begleitung eines Mitarbeiters des Auftragsverarbeiters Zutritt zu allen Sicherheitszonen zu gewähren. Sie haben sich bei der Ausübung ihrer Befugnisse zu legitimieren. Im Anhang 4 zu dieser Vereinbarung sind die Namen der zurzeit berechtigten Personen aufgeführt. 11 Schlussbestimmungen (1) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile einschließlich etwaiger Zusicherungen des Auftragsverarbeiters - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. (2) Sollten einzelne Regelungen dieser Vereinbarung unwirksam oder undurchführbar sein, wird davon die Wirksamkeit der übrigen Regelungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Regelung tritt diejenige wirksame und durchführbare Regelung, deren Wirkungen der Zielsetzung am nächsten kommt, die die Vertragsparteien mit der unwirksamen oder undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich die Vereinbarung als lückenhaft erweist. 10 114 Anhang 1 Niederschrift über die Verpflichtungserklärung zur Vereinbarung zur Auftragsverarbeitung vom 11 zwischen und Vor dem Unterzeichneten erschien heute zum Zwecke der VERPFLICHTUNG nach 1 des Verpflichtungsgesetzes Herr/Frau geb. am beschäftigt als Freistaat Bayern, vertreten durch das Landesamt für Digitalisierung, Breitband und Vermessung 115 Der Erschienene / die Erschienene wurde auf die gewissenhafte Erfüllung seiner / ihrer Obliegenheiten, insbesondere die Verpflichtung zum Datenschutz und gegebenenfalls zur Wahrung des Steuergeheimnisses verpflichtet. Ihm / Ihr wurde der Inhalt der folgenden Strafvorschriften des Strafgesetzbuches bekanntgegeben: 97b Abs. 2 i.V.m. Verrat in irriger Annahme eines illegalen Geheimnisses 94 bis 97b 133 Abs. 3 Verwahrungsbruch, 201 Abs. 3 Verletzung der Vertraulichkeit des Wortes, 203 Abs. 2, 4, 5 Verletzung von Privatgeheimnissen, 204 Verwertung fremder Geheimnisse, 331, 332 Vorteilsannahme und Bestechlichkeit, 353b Verletzung des Dienstgeheimnisses und einer besonderen Geheimhaltungspflicht, 355 Verletzung des Steuergeheimnisses 358 Nebenfolgen Der / die Erschienene wurde darauf hingewiesen, dass die vorgenannten Strafvorschriften auf Grund der Verpflichtung für ihn / sie anzuwenden sind. Er / Sie erklärt, nunmehr von dem Inhalt der genannten Bestimmungen unterrichtet zu sein. Er / Sie unterzeichnet dieses Protokoll nach Vorlesung zum Zeichen der Genehmigung und bestätigt gleichzeitig den Empfang einer Abschrift der Niederschrift und der oben genannten Vorschriften. Vorgelesen, genehmigt und unterschrieben: 12 Unterschrift des Verpflichtenden Unterschrift des Verpflichteten 116 Anhang 2 Technische und organisatorische Maßnahmen zur Vereinbarung zur Auftragsverarbeitung vom 13 zwischen und 5 der Vereinbarung zur Auftragsverarbeitung verweist zur Konkretisierung der technischorganisatorischen Maßnahmen auf diesen Anhang. 1 Technische und organisatorische Sicherheitsmaßnahmen Die Vertragspartner sind verpflichtet, geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung der Daten im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Person in angemessener Form gewährleistet ist. 2 Innerbehördliche oder innerbetriebliche Organisation des Auftragsverarbeiters Der Auftragsverarbeiter wird seine innerbehördliche oder innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden Daten oder Datenkategorien geeignet sind. Freistaat Bayern, vertreten durch das Landesamt für Digitalisierung, Breitband und Vermessung 117 3 Konkretisierung der Einzelmaßnahmen (1) Im Einzelnen werden folgende Maßnahmen bestimmt, die der Umsetzung der Vorgaben des Art. 32 DSGVO dienen: 14 Nr. Maßnahme Umsetzung der Maßnahme 1 Zutrittskontrolle Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Z.B. Zutrittskontrollsystem, Ausweisleser, Magnetkarte, Chipkarte, Schlüssel, Schlüsselvergabe, Werkschutz, Pförtner, Überwachungseinrichtung, Alarmanlage, Türsicherung 2 Zugangskontrolle Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden. Z. B. Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung, Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren (Beispiele: Kennwortverfahren, Automatisches Sperren, Einrichtung eines Benutzerstammsatzes pro User, Verschlüsselung von Datenträgern) 3 Zugriffskontrolle Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. [Z.B. Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung, Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren (Beispiele: differenzierte Berechtigungen wie Profile, Rollen etc. Auswertungen, Kenntnisnahme, Veränderung, Löschung) 118 15 Nr. Maßnahme Umsetzung der Maßnahme 4 Weitergabekontrolle Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. [Ergänzung] z.B. Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung, Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren, elektronische Signatur 5 Eingabekontrolle Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Z.B. Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung gewährleisten, etwa durch Protokollierungs- und Auswertungssysteme 6 Auftragskontrolle Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können. Z.B. Abgrenzen der Kompetenz zwischen Verantwortlichem und Auftragsverarbeiter (Beispiel: eindeutige Vertragsgestaltung, Kriterien zur Auswahl des Auftragsverarbeiters, Kontrolle der Vertragsausführung) 119 16 Nr. Maßnahme Umsetzung der Maßnahme 7 Verfügbarkeitskontrolle Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Z.B. Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen, Maßnahmen zur Datensicherung (Beispiel: Backup-Verfahren, Spiegeln von Festplatten, unterbrechungsfreie Stromversorgung, Firewall, Notfallplan) 8 Trennungskontrolle Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Z.B. Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten, Mandantenfähigkeit, Funktionstrennung zwischen Produktion / Test (2) Es ist ein Verfahren zu etablieren, das eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der zum Einsatz kommenden technischen und organisatorischen Maßnahmen durch die Vertragsparteien ermöglicht. Datum, Ort Datum, Ort Unterschrift (Verantwortlicher) Unterschrift (Auftragsverarbeiter) Name, Vorname, Funktion Name, Vorname, Funktion 120 Anhang 3 Muster eines Löschungsprotokolls Ein Löschungsprotokoll enthält mindestens je Datenträger inhaltlich folgende Informationen. Die Darstellungsreihenfolge und -form ist nicht fest vorgegeben. Mit * markierte Felder sind freiwillige Angaben. Erläuterungen und Beispiele in < >. Informationen zur ausführenden Person und Unternehmen: 17 Name durchführende Person: Firma/Organisation: Löschergebnis je Datenträger: Datenträgerart:Modell: Typ: Serien-Nr.: Größe: Bus: Sektorenanzahl: HPA: <(Nicht) vorhanden> DCO: <(Nicht) vorhanden> Remappte Sektoren: Lösch-Software/Version: Löschstandard: Löschung Start: Löschung Ende: Löschung Dauer: Status: Gelöscht / Fehler X Hardware-Informationen: (nur soweit ein Gesamtsystem mit eingebauten Datenträgern zurückgegeben wird) *Prozessor: *Gesamtspeicher: Hersteller: Modell: Serien-Nr.: *Version: *Asset tag: Alle Datenträger: Festplatte: , Das Löschungsprotokoll ist wie folgt zu bestätigen: Hiermit bestätige ich, dass die Datenlöschung gemäß den Vorgaben ordnungsgemäß durchgeführt wurde. Unterzeichnung durch: Ausführende Person / Aufsicht bzw. Vorgesetzter / Firmenstempel 121 Anhang 4 Liste der anweisungs-, empfangs- und kontrollberechtigte Personen zur Vereinbarung zur Auftragsverarbeitung vom 18 zwischen und Nach 10 der Vereinbarung zur Auftragsverarbeitung benennt der Verantwortliche folgende anweisungs-, empfangs- und kontrollberechtigte Personen: Berechtigung lfd. Nr. Vor- und Zuname Anweisung Empfänger von Unterlagen Kontrolle Unterschriftsprobe 1. 2. 3. 4. 5. 6. 7. 8. , den Unterschrift des Verantwortlichen Freistaat Bayern, vertreten durch das Landesamt für Digitalisierung, Breitband und Vermessung 122 LEISTUNGSVERZEICHNIS Ausschreibung 05.08.2019 Verfahren: 2019MRE000003 - Kartenzahlungsgeräte für die ÄDBV SKONTO Skonto zugelassen Nein Zahlungsziel (falls zugelassen) Tag(e) Skonto __________ % AUFLISTUNG ALLER POSITIONEN ALLE PREISE SIND OHNE UMSATZSTEUER ANZUGEBEN Allgemeiner Hinweis: Im Angebot ist die genaue Modellbezeichnung des angebotenen Kartenzahlungsgerätes anzugeben. Für das angebotene Modell sind Prospektmaterial, Datenblätter sowie aussagekräftige Nachweise der geforderten Merkmale unter dem Arbeitsschritt "Eigene Anlagen" beizufügen. Hinweis zum Mietpreis für Kartenzahlungsgeräte: Die Positionen 2.1.5 der Leistungsbeschreibung und 5.2 der Bewertungsmatrix Leistung sind bei der Kalkulation des Mietpreises zu berücksichtigen. Die Pilotierungsphase eines Kartenzahlungsgerätes an einem ADBV über den Zeitraum von zwei Monaten nach Zuschlagserteilung gemäß Position 2.1.6 der Leistungsbeschreibung wird vom Auftraggeber nicht gesondert vergütet. 1 Mietpreis Kartenzahlungsgeräte USt. [%] 19% Menge 1,00 Einheit Pauschale Im Angebotspreis wird die Miete von 73 Kartenzahlungsgeräten incl. Full-Service und Zubehör für ein Vertragsjahr berücksichtigt. Geben Sie die Mietpauschale pro Kartenzahlungsgerät und Monat an. Der Jahrespreis für die 73 Kartenzahlungsgeräte wird vom System automatisch berechnet. Einzelpreis [EUR] ................ pro 1,00 Pauschale Gesamtpreis [EUR] ................ Leistungsverzeichnis - 1/5 123 Textergänzungen/Eigenschaften Modellbezeichnung des Kartenzahlungsgerätes: ________ Monatlicher Mietpreis netto pro Kartenzahlungsgerät inkl. Full-Service und Zubehör: ________ Euro Gesamtpreis Miete für 73 Kartenzahlungsgeräte für ein Vertragsjahr.: Euro Formel: 73*12*[Monatlicher Mietpreis netto pro Kartenzahlungsgerät inkl. Full-Service und Zubehör] Ergebnis: Preis 2 Transaktionskosten USt. [%] 19% Menge 50.000,00 Einheit (ohne Einheit) Bitte geben Sie den Nettopreis für 100 (bitte Anzahl beachten!) Transaktionen ein. Die Preisabfrage erfolgt bezogen auf 100 Transaktionen, damit auch ungerade Centbeträge für den Einzeltransaktionspreis eingegeben werden können. Die Abrechnung erfolgt nach der tatsächlichen Anzahl der genutzten Transaktionen. Bei der Berechnung des Angebotspreises wird von 50.000 Transaktionen (Zahlungsvorgängen) pro Vertragsjahr ausgegangen. Einzelpreis [EUR] ................ pro 100,00 (ohne Einheit) Gesamtpreis [EUR] ................ 3 Umsatzsteuerfreie Disagios USt. [%] 0% Menge 1,00 Einheit (ohne Einheit) Im Angebotspreis werden umsatzsteuerfreie Disagios pro Vertragsjahr berücksichtigt. Zur Vergleichbarkeit der Angebote wird von einem geschätzten Zahlungsvolumen von 800.000 Euro pro Vertragsjahr ausgegangen. Einzelpreis [EUR] ................ pro 1,00 (ohne Einheit) Gesamtpreis [EUR] ................ 4 Umsatzsteuerpflichtige Disagios USt. [%] 19% Menge 1,00 Einheit (ohne Einheit) Im Angebotspreis werden umsatzsteuerpflichtige Disagios pro Vertragsjahr berücksichtigt. Zur Vergleichbarkeit der Angebote wird von einem geschätzten Zahlungsvolumen von 800.000 Euro pro Einzelpreis [EUR] ................ pro 1,00 (ohne Einheit) Gesamtpreis [EUR] ................ Leistungsverzeichnis - 2/5 124 Vertragsjahr ausgegangen 5 Mietpreis für zusätzliche Kartenzahlungsgeräte (optionale Menge) Optionalposition USt. [%] 19% Menge 10,00 Einheit Pauschale Zusätzliche Anmietung von maximal 10 Kartenzahlungsgeräten inkl. Full-Service und Zubehör. Die Eigenschaften der Kartenzahlungsgeräte müssen mit den unter Position 1 genannten Eigenschaften identisch sein. Die tatsächliche Menge und der Zeitpunkt der Anmietung sind noch nicht bekannt. Einzelpreis [EUR] ................ pro 1,00 Pauschale Gesamtpreis [EUR] ohne Gesamtpreis 6 Belegpapier (optionale Menge) Optionalposition USt. [%] 19% Menge 10,00 Einheit Paket Belegpapier für angebotenes Kartenzahlungsgerät; Nettopreis pro Paket mit 100 Rollen inkl. Versandkosten. Zur Vergleichbarkeit der Angebote wird von einem Kauf von 10 Paketen ausgegangen. Hierbei handelt es sich um einen Schätzwert. Es besteht kein Anspruch auf eine tatsächliche Abnahme. Einzelpreis [EUR] ................ pro 1,00 Paket Gesamtpreis [EUR] ohne Gesamtpreis ANGEBOTSSUMME(N) Summe exkl. Nachlass (netto) ____________________ Nachlass (netto) ____________________ Summe inkl. Nachlass (netto) ____________________ Leistungsverzeichnis - 3/5 125 Umsatzsteuer ____________________ Summe (brutto) ____________________ Leistungsverzeichnis - 4/5 126 LEISTUNGSVERZEICHNIS Ausschreibung 05.08.2019 Verfahren: 2019MRE000003 - Kartenzahlungsgeräte für die ÄDBV AUFLISTUNG ALLER DATEIANLAGEN ZU DEN POSITIONEN Name Dateiname Größe MIME-Type Leistungsverzeichnis - 5/5 127 KRITERIENKATALOG Ausschreibung 05.08.2019 Verfahren: 2019MRE000003 - Kartenzahlungsgeräte für die ÄDBV EIGNUNGSKRITERIEN 1 Unternehmensdarstellung 1.1 Unternehmensdarstellung [Mussangabe] K.O.-Kriterium: Nein Bitte stellen Sie Ihr Unternehmen / Bietergemeinschaft und Ihr Leistungsportfolio kurz (max. 2 Seiten) dar. Gehen Sie dabei besonders auf den Gegenstand der Ausschreibung ein. 2 Referenzen 2.1 Referenzangaben Geben Sie bitte drei mit dem ausgeschriebenen Leistungsgegenstand vergleichbare Referenzaufträge dreier unterschiedlicher Auftraggeber an. Die jeweilige Referenz darf nicht älter als drei Jahre und muss noch nicht abgeschlossen sein. Fehlende, unvollständige Angaben und nicht vergleichbare Referenzen führen grundsätzlich zum Ausschluss aus dem Vergabeverfahren. 2.2 Referenz 1 Gewichtung: 0,00% 2.2.1 Referenzkunde [Mussangabe] K.O.-Kriterium: Nein Name und Adresse des Referenzkunden 2.2.2 Ansprechpartner des Referenzkunden [Mussangabe] K.O.-Kriterium: Nein Ansprechpartner bzw. zuständige Stelle des Referenzkunden mit Telefonnummer / E-Mail 2.2.3 Zeitraum der Leistungserbringung [Mussangabe] K.O.-Kriterium: Nein Zeitraum der Leistungserbringung (Kalenderdaten) 2.2.4 Inhalt (Kurzbeschreibung des Projekts) [Mussangabe] K.O.-Kriterium: Nein Kurzbeschreibung des Projekts 2.2.5 Auftragsvolumen des Projekts [Mussangabe] K.O.-Kriterium: Nein Auftragsvolumen in Euro netto 2.3 Referenz 2 Gewichtung: 0,00% 2.3.1 Referenzkunde [Mussangabe] K.O.-Kriterium: Nein Name und Adresse des Referenzkunden 2.3.2 Ansprechpartner des Referenzkunden [Mussangabe] K.O.-Kriterium: Nein Ansprechpartner bzw. zuständige Stelle des Referenzkunden mit Telefonnummer / E-Mail 2.3.3 Zeitraum der Leistungserbringung [Mussangabe] K.O.-Kriterium: Nein Kriterienkatalog - 1/5 128 Zeitraum der Leistungserbringung (Kalenderdaten) 2.3.4 Inhalt (Kurzbeschreibung des Projekts) [Mussangabe] K.O.-Kriterium: Nein Kurzbeschreibung des Projekts 2.3.5 Auftragsvolumen des Projekts [Mussangabe] K.O.-Kriterium: Nein Auftragsvolumen in Euro netto 2.4 Referenz 3 Gewichtung: 0,00% 2.4.1 Referenzkunde [Mussangabe] K.O.-Kriterium: Nein Name und Adresse des Referenzkunden 2.4.2 Ansprechpartner des Referenzkunden [Mussangabe] K.O.-Kriterium: Nein Ansprechpartner bzw. zuständige Stelle des Referenzkunden mit Telefonnummer / E-Mail 2.4.3 Zeitraum der Leistungserbringung [Mussangabe] K.O.-Kriterium: Nein Zeitraum der Leistungserbringung (Kalenderdaten) 2.4.4 Inhalt (Kurzbeschreibung des Projekts) [Mussangabe] K.O.-Kriterium: Nein Kurzbeschreibung des Projekts 2.4.5 Auftragsvolumen des Projekts [Mussangabe] K.O.-Kriterium: Nein Auftragsvolumen in Euro netto 3 Leistungsfähigkeit / Umsatz 3.1 technische und personelle Voraussetzungen Können Sie zusichern, dass Sie aufgrund Ihrer technischen und personellen Voraussetzungen grundsätzlich in der Lage sind, die geforderten Leistungen zu erbringen? [ ] Keine Angabe [ ] Ja [ ] Nein Nur eine Antwort wählbar 3.2 fach- und termingerechte Ausführung Können Sie die zur fach- und termingerechten Ausführung erforderlichen Arbeitskräfte, Geräte, etc. zusichern? [ ] Keine Angabe [ ] Ja [ ] Nein Nur eine Antwort wählbar 3.3 durchschnittlicher Jahresumsatz (bezogen auf die letzten drei Geschäftsjahre) Gewichtung: 0,00% 3.3.1 Jahresumsatz [Mussangabe] K.O.-Kriterium: Nein Angabe des Netto-Jahresumsatzes 2016, 2017 und 2018 in Euro (netto). Bei Bietergemeinschaften / Generalunternehmen oder Subunternehmern werden die Zahlen addiert. Kriterienkatalog - 2/5 129 4 Eigenerklärung 4.1 Bestätigung der Kenntnisnahme [Mussangabe] K.O.-Kriterium: Ja Die Eigenerklärung habe ich zur Kenntnis genommen und bestätige ihren Inhalt. [ ] Keine Angabe [ ] Ja [ ] Nein Nur eine Antwort wählbar 4.2 Angaben zu fakultativen Ausschlussgründen K.O.-Kriterium: Nein Sollten für Sie bzw. Ihr Unternehmen fakultative Ausschlussgründe nach 124 GWB vorliegen, schildern Sie bitte, warum diese nicht zu einem Ausschluss vom Verfahren führen sollen. Der Auftraggeber entscheidet im Rahmen der Angebotsprüfung über den Ausschluss. Sie können ausführlichere Angaben zum Sachverhalt auch im Arbeitsschritt Eigene Anlagen als Dokument hochladen. 5 Ausschlussgründe nach 31 UVgO i.V.m. 123, 124 GWB 5.1 Hinweis Hinweis: Ein Eintrag zu den folgenden Punkte erfolgt erst bei der Angebotsprüfung durch den Auftraggeber, es ist kein Eintrag durch den Bieter zulässig. 5.2 Ausschlussgründe entsprechend 123 GWB Der Auftraggeber hat keine Kenntnis von zwingenden Ausschlussgründen entsprechend 123 GWB? [ ] Keine Angabe [ ] Ja [ ] Nein Nur eine Antwort wählbar 5.3 Ausschluss entsprechend 124 GWB Der Auftraggeber hat keine Kenntnis von fakultativen Ausschlussgründen entsprechend 124 GWB, die zum Ausschluss führen? [ ] Keine Angabe [ ] Ja [ ] Nein Nur eine Antwort wählbar Kriterienkatalog - 3/5 130 KRITERIENKATALOG Ausschreibung 05.08.2019 Verfahren: 2019MRE000003 - Kartenzahlungsgeräte für die ÄDBV LEISTUNGSKRITERIEN 1 Ansprechpartner 1.1 Ansprechpartner für technische Belange Gewichtung: 0,00% 1.1.1 Ansprechpartner für technische Belange Bei technischen Fragen kann sich der Auftraggeber an folgende Kontaktstellen des Auftragnehmers (ggf. des Herstellers/Subunternehmers) wenden: 1.1.2 Auftragnehmer [Mussangabe] K.O.-Kriterium: Nein Bezeichnung des Auftragnehmers: 1.1.3 Organisatorische Einheit / Abteilung [Mussangabe] K.O.-Kriterium: Nein Organisatorische Einheit / Abteilung: 1.1.4 Postanschrift [Mussangabe] K.O.-Kriterium: Nein Postanschrift der Support ausführenden Stelle (PLZ, Stadt, Land): 1.1.5 Telefon [Mussangabe] K.O.-Kriterium: Nein Telefonnummer: 1.1.6 Fax [Mussangabe] K.O.-Kriterium: Nein Faxnummer: 1.1.7 E-Mail [Mussangabe] K.O.-Kriterium: Nein E-Mailadresse: 1.1.8 Webadresse [Mussangabe] K.O.-Kriterium: Nein Webadresse: 1.2 Ansprechpartner für Allgemeines und Vertragsangelegenheiten Gewichtung: 0,00% 1.2.1 Ansprechpartner für Allgemeines und Vertragswesen [Mussangabe] K.O.-Kriterium: Nein Bei Fragen zur Vertragsabwicklung und allgemeinen Belangen kann sich der Auftraggeber an folgende Kontaktstellen des Auftragnehmers (ggf. des Herstellers/Subunternehmers) wenden: 1.2.2 Auftragnehmer [Mussangabe] K.O.-Kriterium: Nein Bezeichnung des Auftragnehmers: Kriterienkatalog - 4/5 131 1.2.3 Organisatorische Einheit / Abteilung [Mussangabe] K.O.-Kriterium: Nein Organisatorische Einheit / Abteilung: 1.2.4 Postanschrift [Mussangabe] K.O.-Kriterium: Nein Postanschrift der Support ausführenden Stelle (PLZ, Stadt, Land): 1.2.5 Telefon [Mussangabe] K.O.-Kriterium: Nein Telefonnummer: 1.2.6 Fax [Mussangabe] K.O.-Kriterium: Nein Faxnummer: 1.2.7 E-Mail [Mussangabe] K.O.-Kriterium: Nein E-Mailadresse: 1.2.8 Webadresse [Mussangabe] K.O.-Kriterium: Nein Webadresse: 2 Bewertungsmatrix Leistung [Mussangabe] K.O.-Kriterium: Nein Die Anlage Bewertungsmatrix Leistung muss vom Bieter vollständig ausgefüllt (d.h. es sind alle Fragen zu beantworten) und im Angebotsassistenten im Arbeitsschritt Eigene Anlagen als Excel-Datei hochgeladen werden. Der Bieter kann für die Beantwortung der Fragen auch eigene Dokumente erstellen und dem Angebot elektronisch im Arbeitsschritt Eigene Anlagen beifügen. Bei jeder Antwort muss der Bieter die jeweilige Referenznummer in der Bewertungsmatrix (z.B. Kriterium 1.1) angeben, damit ein eindeutiger Bezug seiner Ausführungen zum jeweiligen Kriterium hergestellt werden kann. Bitte bestätigen Sie die Kenntnisnahme. [ ] Keine Angabe (0) [ ] Ja (0) [ ] Nein (0) Nur eine Antwort wählbar 3 Ausschlusskriterien erfüllt Alle in der Bewertungsmatrix Leistung angegebenen Ausschlusskriterien werden erfüllt. Die Überprüfung und Bewertung erfolgt durch den Auftraggeber auf Basis der Bieterangaben. (=Auswertungskriterium für Auftraggeber). [ ] Keine Angabe [ ] Ja [ ] Nein Nur eine Antwort wählbar Kriterienkatalog - 5/5 132 Name Dateiname Größe MIME-Type Bewertungsmatrix Leistung Bewertungsmatrix Leistung.xlsx 52,71 KB application/vnd.openxmlformats-officedocument.spreadsheetml.sheet 133 Source: 4 https://www.bund.de/IMPORTE/Ausschreibungen/healyhudson/2019/08/35c9788d-62e2-491e-88b7-9b1a7b9d5d58.html Data Acquisition via: p8000000 -------------------------------------------------------------------------------- Database Operation & Alert Service (icc-hofmann) for: The Office for Official Publications of the European Communities The Federal Office of Foreign Trade Information Phone: +49 6082-910101, Fax: +49 6082-910200, URL: http://www.icc-hofmann.de
