Debitkarte 2026

Physische und virtuelle Debitkarten

• Consumer Debitcards (Visa oder Mastercard oder vergleichbares Netz)
• Höchstmenge 4.800 Karten (vergaberechtliche Obergrenze); geplant ca. 4.000 Karten
• Kartenlaufzeit mindestens 4 Jahre, neutrales Kartendesign (kein Logo/Aufdruck)
• PIN-Bereitstellung nur an Kartennutzende
• Virtuelle Debitkarte optional auf dem Smartphone (NFC), nutzbar mit Apple Pay, Google Pay, Samsung Pay
• Bundesweiter Einzelversand an verschiedene Dienststellen-Adressen
• Lieferfrist Erstausstattung: 7 Arbeitstage nach Abruf; Nachlieferungen: 5 Arbeitstage

Aufladung und Kontofunktion

• Jede Karte erhält eine individuelle virtuelle IBAN ohne Bankkonto
• Aufladung ausschließlich per SEPA-Überweisung durch den Auftraggeber auf diese IBAN
• Guthabenbasis, keine Überziehungsmöglichkeit
• Ad-hoc-Limit-Erhöhung für Notfälle (Vier-Augen-Prinzip in der Webanwendung); der Auftragnehmer tritt in Vorleistung und erhält nachträgliche Ausgleichszahlung
• Sperren, Entsperren und Kündigen der Karten; 24/7-Sperre durch Kartennutzende selbst oder via Support; Guthabenübertragung auf Ersatzkarte möglich
• Bargeldabhebung an Geldautomaten und im Einzelhandel im gesamten SEPA-Raum

• Browser-basierte SaaS-Anwendung als Stand-Alone-System (ohne Anbindung an IT-Systeme der BA)
• Funktionen: neue Karte anlegen, Kartenübersicht, Ad-hoc-Limit-Erhöhung (Vier-Augen-Prinzip), Berichte und statistische Auswertungen, Ersatzkarte inkl. Guthabenübertrag, Kartenumzug bei Zuständigkeitswechsel, Dublettenprüfung, Sperrstatus einsehen
• Rollen- und Berechtigungskonzept mit Mandantentrennung für ca. 450 Dienststellen
• Mehr-Faktor-Authentifizierung (MFA)
• Protokollierung aller Zugriffe (mind. 90 Tage); Remote-Zugriffe 1 Jahr
• Monatliche Berichte als Excel-Datei

• Online-Portal (SaaS) für Kartennutzende: Kontostand und Transaktionen einsehen, Support-Kontakt, Datenschutzerklärung
• App für iOS und Android: Kontostand, Transaktionen, optional Nutzung der virtuellen Debitkarte
• Bei Kartenausgabe: Vereinbarung und Datenschutzerklärung (vom AN gestellt), Onepager/Flyer mit den wichtigsten Informationen

• Komplettbetrieb als Cloud-SaaS-Lösung in DE/EU/EWR
• Verfügbarkeit: mindestens 99,5 % pro Vertragsmonat (24/7 produktive Betriebszeit)
• Regelmäßige Software-Updates, Patches, Releases und Hotfixes inklusive
• Updates mit Nutzungsauswirkung: mindestens 10 Arbeitstage Vorlauf per E-Mail an den AG
• Wartungsfenster Webanwendung: 22:00–06:00 Uhr MEZ
• Deutschsprachiger 1st-Level-Support: Mo–Fr 08:00–17:00 Uhr MEZ, eine Hotline-Rufnummer, eine E-Mail-Adresse, benannte entscheidungsbefugte Vertretung

• Schulungen für ca. 5.000 Mitarbeitende der BA und der gemeinsamen Einrichtungen (gE/Jobcenter)
• Maximal 1.000 Teilnehmende pro Schulungstag
• Maximal 20 Schulungsmaßnahmen à ca. 60 Minuten (+ 15–30 Min. Fragen), virtuell über MS-Teams
• Bereitstellung von Handbuch, FAQs, Präsentationsunterlagen sowie Test- und Schulungssystem
• Erstqualifizierung innerhalb von 12 Arbeitstagen nach Zuschlag; Nachqualifizierungen bei Bedarf

• Optionales Dienstleistungskontingent: ca. 240 Personenstunden über die Vertragslaufzeit
• Zweck: Unterstützung bei Digitalisierung von Geschäftsprozessen (z. B. Rechnungsbearbeitung, Reporting)
• Remote-Erbringung, Servicezeiten Mo–Fr 08:00–17:00 Uhr MEZ
• Keine Abrufverpflichtung; Abrechnung nach tatsächlich erbrachtem Aufwand

Der Bieter darf nicht wegen zwingender Ausschlussgründe gemäß § 123 GWB ausgeschlossen sein. Dazu gehören u. a. rechtskräftige Verurteilungen wegen:

• Bildung krimineller oder terroristischer Vereinigungen (§ 129 StGB)
• Terrorismusfinanzierung (§ 89c StGB)
• Geldwäsche (§ 261 StGB)
• Betrug und Subventionsbetrug gegen öffentliche Haushalte (§§ 263, 264 StGB)
• Bestechung/Bestechlichkeit im geschäftlichen Verkehr und gegenüber Mandatsträgern (§§ 299, 108e, 333, 334 StGB, IntBestG)
• Menschenhandel (§§ 232, 233, 233a StGB)

Ebenso: Erfüllung der Steuer- und Sozialversicherungspflichten (§ 123 Abs. 4 GWB). Die Anforderungen gelten für Bieter, Bietergemeinschaftsmitglieder, Unterauftragnehmer und freie Mitarbeiter gleichermaßen. Eine Selbstreinigung nach § 125 GWB ist möglich.

Es dürfen keine fakultativen Ausschlussgründe nach § 124 GWB vorliegen, insbesondere:

• Verstöße gegen umwelt-, sozial- oder arbeitsrechtliche Verpflichtungen
• Insolvenz, Liquidation oder eingestellte Geschäftstätigkeit
• Schwere Verfehlungen wie Preisabsprachen, Verstöße gegen das AEntG mit Bußgeld ≥ 2.500 €, Schwarzarbeit
• Wettbewerbsbeschränkende Absprachen
• Interessenkonflikte im Vergabeverfahren
• Wettbewerbsverzerrung durch Einbindung in die Vergabevorbereitung
• Wesentliche mangelhafte Auftragserfüllung in der Vergangenheit
• Schwerwiegende Täuschung über Ausschlussgründe/Eignung
• Unzulässige Beeinflussungsversuche

Der Bieter und – bei mehr als 10 % Auftragswert – auch Unterauftragnehmer/Lieferanten dürfen nicht auf den Sanktionslisten gemäß Art. 5k der EU-Verordnung 833/2014 stehen. Verboten ist die Beteiligung von:

• Russischen Staatsangehörigen
• In Russland ansässigen natürlichen Personen
• In Russland niedergelassenen juristischen Personen
• Juristischen Personen mit mehr als 50 % Beteiligung sanktionierter Organisationen
• Personen/Organisationen, die im Auftrag der vorgenannten handeln

Die Zusicherung gilt für die gesamte Vertragslaufzeit.

• Nachweis der Lizenzierung und Regulierung als Zahlungsinstitut durch die BaFin (oder eine vergleichbare EU-Aufsichtsbehörde)
• Bestätigung, dass das Ad-hoc-Limit-Erhöhungsverfahren (Vorleistung des AN mit nachträglicher Ausgleichszahlung) von einer Aufsichtsbehörde für den deutschen Geltungsbereich genehmigt und reguliert ist
• Erfüllung der Mindestanforderungen an das Risikomanagement (MA-Risk)

• Zertifiziertes Informationssicherheits-Managementsystem nach ISO/IEC 27001 oder BSI IT-Grundschutz (oder vergleichbar)
• Gültiges Zertifikat einer akkreditierten Zertifizierungsstelle
• Geltungsbereich des Zertifikats muss die ausgeschriebenen Leistungen abdecken
• Falls das Zertifikat auf einen Unterauftragnehmer/Rechenzentrumsbetreiber lautet: zusätzlich vertragliche Einbindung dieses Partners und Vorlage dessen Zertifikats erforderlich

• BSI-C5-Testat (Typ 2) oder gleichwertiger, international anerkannter Standard (z. B. SOC 2 Type 2), das die Wirksamkeit der Kontrollen für mindestens 6 Monate bestätigt
• Falls zum Angebotszeitpunkt noch kein Typ-2-Testat vorhanden: ersatzweise C5 Typ 1, SOC 2 Type 1 oder detailliertes Audit-Testat eines unabhängigen Dritten
• Bei alternativen Standards: schlüssige Darlegung der Gleichwertigkeit zu BSI C5
• Mit dem Angebot: Darlegung, wer die Cloud-Infrastruktur betreibt und an welchen Standorten
• Vor Beginn der Auftragsverarbeitung: Erstellung eines IT-Sicherheitskonzepts nach BSI-Standard 200-2 unter Verwendung des IT-Grundschutz-Kompendiums (Standard-Absicherung)

• Nachweis der Eignung durch mindestens eine Referenz (Eigenerklärung Vordruck D.9)
• Inhalt: Bereitstellung und Betrieb einer marktreifen Consumer-Debitcard-Lösung für mindestens 1.200 Kartennutzer inkl. Webanwendung, Online-Portal und App (iOS/Android) als Stand-Alone-System, mit SEPA-Aufladung auf virtuelle IBANs, Ad-hoc-Limit-Erhöhung, Akzeptanz im Handel/Online und Bargeldverfügung am Geldautomaten und im Einzelhandel
• Zeitraum: innerhalb der letzten 3 Jahre, Leistung mindestens 12 Monate am Stück durchgehend
• Referenzgeber-Bewertung sollte mindestens „zufriedenstellend" lauten
• Referenz muss dem Bieter zurechenbar sein; laufende Verträge nur zulässig, wenn auf andauernde Dienstleistung ausgerichtet

Verpflichtung, bei der Auftragsausführung alle geltenden rechtlichen Vorschriften einzuhalten – insbesondere:

• Steuer- und Abgabenpflichten
• Sozialversicherungspflichten
• Arbeitsschutzrecht
• Mindestlohn nach MiLoG sowie einschlägige Tarifverträge nach AEntG

Die Verpflichtung gilt auch für Unterauftragnehmer, freie Mitarbeiter und Unterunterauftragnehmer. Bei Verstößen ist eine fristlose Kündigung möglich.

• Verarbeitung personenbezogener Daten ausschließlich in DE/EU/EWR
• Auftragsverarbeitung gemäß Art. 28 DSGVO
• Grundwerte Verfügbarkeit, Integrität und Vertraulichkeit auf Stufe „hoch"
• TOM-Anlage (technische und organisatorische Maßnahmen) gemäß Art. 32 DSGVO ist umzusetzen und zu dokumentieren
• Vor-Ort-Kontrollen durch den Auftraggeber (alle 2 Jahre) sind zu dulden