Landkreis Peine: Vergabe eines externen Datenschutzbeauftragen, externen Informationssicherheitsbeauftragten und Dienstleistungen für das Geschäftsfortführungsmanagement

Folgende Leistungen sind für die Gesamtleistung (DSB, ISB, BCM) zu erbringen:

• GAP-Analyse zu Beginn: Bestandsaufnahme des aktuellen Umsetzungsstands in Datenschutz, Informationssicherheit und BCM; Identifikation von Abweichungen; Ableitung konkreter Handlungsempfehlungen; ergebnisbezogener Bericht.
• Aufbau und Implementierung von ISMS, BCMS und DSMS nach BSI-Standard 200-1 bis 200-4 (ISMS/BCMS) und Standard-Datenschutzmodell (DSMS). Ganzheitlicher GRC-Ansatz mit Synergien zwischen den drei Systemen. Abzuschließen bis zum Ende der 24-monatigen Grundlaufzeit. Mindestens 2 Vor-Ort-Termine pro Jahr inkl. Umsetzungsprüfung.
• Laufende Pflege und Weiterentwicklung der eingerichteten Managementsysteme (dauerhaft während der Vertragslaufzeit).
• Eigenes Sicherheitskonzept des Auftragnehmers zur Aufrechterhaltung der Verfügbarkeit, Integrität und Vertraulichkeit der Leistung; laufende Aktualisierung.
• Kommunikationsmanagement: laufende Erreichbarkeit, Berichtswesen, wöchentlicher Austausch mit der koordinierenden Stelle des Auftraggebers (Datenschutz); quartalsweise Information über rechtliche Neuerungen.
• Personalqualifikation und Vertretungsregelungen: Nachweis der Qualifikationen auf Verlangen; Vertretungsregelungen für qualifiziertes Personal.
• Grundsätzliche Unterstützungspflicht des Auftragnehmers in allen fachlichen Fragen.
• Schulungen und Awareness: halbjährliche Awareness-Maßnahmen (Newsletter, E-Learning etc.) und Schulungen auf Abruf (mind. 90 Minuten pro Schulung, online, zielgruppengerecht für Verwaltungsleitung, Führungskräfte, Fachbereiche, IT, alle Mitarbeitenden).
• Anlassbezogene Unterstützung bei sicherheitsrelevanten Ereignissen (Incident Response, optional): Stufe 1 = Erstunterstützung mit Lageeinschätzung und Sofortmaßnahmen (Pauschalfestpreis); Stufe 2 = erweiterte Unterstützung mit IT-Forensik (nach konkretem Angebot).
• Geschäftspartner Due Diligence in allen drei Fachbereichen (Datenschutz, Informationssicherheit, BCM) und Lieferkettenrisikobewertung.

Bereitstellung einer modularen, softwaregestützten Lösung für Datenschutz, Informationssicherheit und BCM als zwingender Bestandteil der Leistung.

• Inhalt: Lizenzen, Installation, Hosting, Support, Pflege, Schulungen. Muss On-Premise oder als SaaS betrieben werden können.
• Architektur: medienbruchfreie, durchgängig integrierte Gesamtlösung. Keine losen Mehrsystemlandschaften oder manuell zu überbrückende Schnittstellen. Modulare Lösungen sind zulässig, müssen aber als einheitlich nutzbares System erscheinen.
• Funktionen (Mindestanforderungen gemäß Teil B II. Nr. 5): SSO/IAM-Anbindung, rollenbasierte Berechtigungen (RBAC), revisionssichere Dokumentation, Datenschutz, Datenhoheit, Betrieb, Wartung, Support, Verfügbarkeit, vollständige Exit-Fähigkeit.
• Sicherheit: Redundanz- und Notfallkonzepte, Backup/Wiederherstellung, Testsystem für Schulungen/Evaluation.
• Datenexport: jederzeit vollständig, strukturiert, maschinenlesbar (PDF, DOCX, XLSX, HTML).
• Funktionsbereitschaft: Alle Mindestanforderungen müssen zum Zeitpunkt der Angebotsabgabe vollständig erfüllt sein.
• Vergütung: Pauschalfestpreis für 24 Monate Grundbeauftragung. Keine Bemessungsgröße (z. B. Named User) vorgegeben – Bieter kalkuliert eigenverantwortlich.

Übernahme der Funktion des externen Datenschutzbeauftragten gemäß Art. 37 ff. DSGVO und § 38 BDSG. Beratung, Begleitung und Unterstützung des Auftraggebers in Datenschutzfragen nach DSGVO, BDSG und NDSG.

• Bewertung gemeldeter Datenschutzvorfälle inkl. Risikoanalyse
• Beratung bei Datenschutz-Folgenabschätzungen (DSFA) gemäß Art. 35 DSGVO
• Unterstützung bei Betroffenenanfragen (Art. 12-23 DSGVO)
• Prüfung datenschutzbezogener Aspekte von Vertragswerken
• Bewertung neuer oder geänderter Verarbeitungstätigkeiten
• Unterstützung bei Meldung von Datenschutzverletzungen innerhalb der 72-Stunden-Frist gemäß Art. 33 DSGVO
• Wöchentlicher Austausch mit der koordinierenden Stelle des Auftraggebers
• Auf Wunsch: Einzelgutachten, Stellungnahmen, DSFA-Begleitberichte

Hinweis: Die DSB-Tätigkeit selbst ist keine Auftragsverarbeitung im Sinne Art. 28 DSGVO. Soweit jedoch technisch/organisatorisch/administrativ personenbezogene Daten im Auftrag verarbeitet werden (z. B. Hosting, Datenpflege, Workflows, Berichtsfunktionen), ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen.

Übernahme der Funktion des externen Informationssicherheitsbeauftragten. Beratung, Unterstützung, Begleitung, Bewertung, Dokumentation, Koordination und Zuarbeit im Bereich Informationssicherheit. Die Gesamtverantwortung des Auftraggebers für Informationssicherheit bleibt unberührt.

• Anlassbezogene Beratung (z. B. bei Softwarebeschaffung)
• Koordination und Steuerung der Informationssicherheitsprozesse
• Untersuchung und Dokumentation von Sicherheitsvorfällen
• Schwachstellenmanagement
• Auf Wunsch: Erstellung einzelner Sicherheitskonzepte, Audits, Prüfberichte
• Fundierte Kenntnisse einschlägiger Regulierungen (KRITIS, NIS2, IT-SiG 2.0) erforderlich

Aufbau und laufende Begleitung des Business Continuity Managements nach BSI-Standard 200-4.

• Bearbeitung BCM-bezogener Fragestellungen
• Begleitung bei BCM-Audits und -Kontrollen
• Erstellung einzelner Notfall- und Wiederanlaufpläne
• Durchführung dokumentierter BCM-Tests inkl. Ergebnisbericht
• Aufarbeitung sicherheitsrelevanter Ereignisse
• Notfall- und Krisenmanagement

• Vertragsgrundlage: EVB-IT-Dienstvertrag (Version 2.1 vom 01.04.2018) als typengemischter Vertrag mit dienst- und werkvertraglichen Bestandteilen.
• Rahmenvereinbarung: keine Einzelaufträge; Verlängerungsoption für einzelne Leistungsbestandteile möglich (jeweils +12 Monate, max. 2x).
• Vertragslaufzeit: Grundlaufzeit 24 Monate ab Vertragsbeginn (voraussichtlich 01.10.2026), maximale Gesamtlaufzeit 48 Monate. Kündigungsfrist 3 Monate vor Ablauf.
• Servicezeiten: Mo-Do 08:00-17:00 Uhr, Fr 08:00-16:00 Uhr (niedersächsische Feiertage).
• Reaktionszeit: max. 8 Stunden auf Anfragen.
• Sprachanforderung: alle eingesetzten Personen Deutschkenntnisse mindestens Niveau C2 (GER). Muttersprachler benötigen kein Zertifikat.
• Verschwiegenheitsverpflichtung: schriftlich für jede eingesetzte Person, zeitlich unbegrenzt; ggf. Verpflichtung nach Verpflichtungsgesetz.
• Nachunternehmer: Benennung im Angebot; späterer Wechsel bedarf vorheriger schriftlicher Genehmigung des Auftraggebers.
• RASCI-Matrix zur Aufgaben- und Zuständigkeitsverteilung vorgesehen.
• Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO für technisch/organisatorische/administrative Leistungsteile (Hosting, Datenpflege, Workflows, Berichte, Auditmanagement).

• Jahresumsatz (Kriterium 1): Eigenerklärung über Umsatz 2022-2024, insgesamt sowie separat für die Bereiche Datenschutz und Informationssicherheit (alternativ 2023-2025 zulässig).
• Berufshaftpflichtversicherung (Kriterium 2): branchenübliche Betriebshaftpflichtversicherung mit folgenden Mindestdeckungssummen pro Versicherungsfall:
• Personen-/Sachschäden: mind. 10 Mio. EUR
• Vermögensschäden (inkl. DSGVO-Verletzungen): mind. 10 Mio. EUR
• Deckung mind. 2-fach pro Jahr verfügbar
• Haftungsbeschränkung für einfache Fahrlässigkeit auf den Auftragswert wird nicht vereinbart

Folgende Zertifizierungen sind Pflicht und müssen durch den Bieter selbst erbracht werden (Eignungsleihe gemäß § 47 Abs. 5 VgV ausgeschlossen):

• Kriterium 7: BSI-Zertifikat gemäß ISO 27001 auf Basis von IT-Grundschutz (oder vergleichbar)
• Kriterium 8: BSI-Zertifizierung als IT-Sicherheitsdienstleister auf Grundlage ISO 17025:2018 (oder vergleichbar). ISO 27001 wird nicht pauschal als gleichwertig anerkannt; Vergleichbarkeit ist durch Bieter darzulegen. Individuelle Personenzertifikate (z. B. CISSP) werden nicht berücksichtigt.
• Kriterium 9: Zertifikat gemäß ISO 9001:2015 (oder vergleichbar). Vergleichbarkeit ist durch Bieter nachzuweisen.
• Kriterium 10: Nachweis der speziellen Prüfverfahrens-Kompetenz für § 8a BSIG a.F. (28.05.2021) bzw. § 39 BSIG n.F. (Berechtigung zur Durchführung und Abnahme der vorgeschriebenen Audits/Prüfungen/Zertifizierungen).

• Personalstand (Kriterium 5): durchschnittlich mindestens 10 Mitarbeitende im Bereich Datenschutz und Informationssicherheit (Jahresdurchschnitt 2023-2025). Bei Eignungsleihe additiv über Bieter und eignungsverleihendes Unternehmen möglich.
• Schlüsselpersonal (Kriterium 6): benannt werden müssen
• Gesamtprojektleitung: mind. 5 Jahre Berufserfahrung in Informationssicherheit und/oder Datenschutz
• Fachliche Leitung Datenschutz: mind. 3 Jahre Berufserfahrung
• Fachliche Leitung Informationssicherheit: mind. 3 Jahre Berufserfahrung
• Eine Person kann mehrere Positionen übernehmen
• Persönliche Referenzprojekte des Leitungspersonals sind wertungsrelevant (Anlage A02 Ziffer 2.2)
• Für alle eingesetzten Personen: Deutschkenntnisse mindestens Niveau C2 (GER); Muttersprachler benötigen kein Zertifikat, aber die Erfüllung muss sichergestellt werden
• Mind. 3 Jahre praktische Erfahrung im jeweiligen Fachbereich, vorzugsweise im kommunalen Umfeld
• Wünschenswert: BSI-IT-Grundschutz-Berater, ISO 27001 Lead Auditor, CISA, CISSP, BCM-Praktiker-Zertifizierung

• Referenz Datenschutz (Kriterium 3): mindestens eine vergleichbare Referenzleistung für eine Bundes-, Landes- oder Kommunalbehörde. Leistung muss ununterbrochen mind. 12 Monate seit 01.01.2020 erbracht worden sein. Tätigkeit eines DSB gemäß Art. 39 DSGVO oder funktional vergleichbar. Auftraggeber mit erhöhten Datenschutzanforderungen (Aufgabenvielfalt, interne Steuerungsprozesse, mehrere Organisationseinheiten). Eignungsleihe durch eignungsverleihenden Nachunternehmer möglich, sofern dieser die Leistung im Auftragsfall tatsächlich erbringt.
• Referenz Informationssicherheit (Kriterium 4): mindestens eine vergleichbare Referenzleistung für eine Bundes-, Landes- oder Kommunalbehörde. Leistung muss ununterbrochen mind. 12 Monate seit 01.01.2020 erbracht worden sein. Tätigkeit eines ISB oder funktional vergleichbar, insbesondere Aufbau/Weiterentwicklung/Begleitung eines ISMS nach BSI-Standard 200-1, 200-2 und 200-3. Eignungsleihe möglich.
• Privatwirtschaftliche Referenzen sind nicht zulässig. Anonymisierte Referenzen sind nicht zulässig; Referenzgeber und Ansprechpartner inkl. Kontaktdaten zwingend anzugeben. Ein Referenzauftrag kann für beide Bereiche (DSB und ISB) angegeben werden, sofern dort beide Leistungsbereiche erbracht wurden.

• Ausschlussgründe (Kriterium 12): Eigenerklärung zu §§ 123, 124 GWB (keine Verurteilungen, Geldbußen, Steuerschulden, schwere Verfehlungen, Wettbewerbsverstöße, Leistungsmängel, Täuschung, Verstöße gegen AEntG/AÜG/MiLoG/SchwarzArbG/LkSG). Ggf. Selbstreinigung gemäß § 125 GWB möglich.
• Mindestentgelte (Kriterium 13): Erklärung gemäß § 4 NTVergG (Anlage D06), dass die gesetzlichen Mindestlöhne (12,82 €/h ab 01.01.2025, 13,90 €/h ab 01.01.2026) und branchenspezifischen Mindestentgelte gezahlt werden. Bei Nachunternehmern gesonderte Erklärung erforderlich.
• Russlandbezug (Kriterium 14): Eigenerklärung gemäß Verordnung (EU) 2022/576 zum fehlenden Bezug zu Russland (keine russische Staatsangehörigkeit/Niederlassung, keine >50%-Beteiligung, keine >10% Unterauftragnehmer/Lieferanten/Eignungsverleiher mit Russland-Bezug).
• Nachunternehmereinsatz (Kriterium 11): Erklärung, ob und welche Leistungsteile an Nachunternehmer vergeben werden; Verzeichnis Anlage D02 immer ausfüllen (auch ohne NU-Einsatz).

• Für die Zertifizierungsnachweise (Kriterien 7-9) sowie die Prüfverfahrens-Kompetenz (Kriterium 10) ist Eignungsleihe gemäß § 47 Abs. 5 VgV ausgeschlossen – diese müssen durch den Bieter selbst erbracht werden.
• Referenzen und Personalstand können durch eignungsverleihende Nachunternehmer beigebracht werden, sofern diese die Leistungen im Auftragsfall tatsächlich selbst erbringen.
• Bei wirtschaftlicher/finanzieller Eignungsleihe: gemeinsame Haftung für die Auftragsausführung im Umfang der geliehenen Kapazitäten.
• Bei Eignungsleihe ist die Verpflichtungserklärung (Anlage D03) rechtsverbindlich unterzeichnet einzureichen.