Lieferantenmanagementsystem SRM-Tool

Bereitstellung und Implementierung eines softwarebasierten Lieferantenmanagementsystems (SRM-Tool) als SaaS-Lösung.

• Bereitstellung der Software inkl. Infrastruktur, Plattform und Rechenzentrumskapazitäten
• Implementierung in die bestehende IT-Landschaft (SAP, Microsoft 365, Vertragsmanagementsystem)
• Support und Wartung über die gesamte Vertragslaufzeit
• Alle erforderlichen Nutzungsrechte und Lizenzen (Benutzerlizenzen und Lieferantenzugänge)
• Klimaneutraler Betrieb des Cloud-Services (Reduktion und Kompensation, Nachweis durch unabhängige:n Bilanzierungsdienstleister:in)
• Skalierbarkeit: aktuell rd. 300 interne Anwender:innen (davon bis zu 50 Key User), spätere Erweiterung ohne grundlegende Systemanpassungen muss möglich sein

• Zentrales Lieferantenmanagement: Stammdaten, Dokumente, Interaktionen an einem Ort; Ablösung fragmentierter Excel-/E-Mail-Strukturen; revisionssichere und auditfähige Dokumentation
• Onboarding und Zusammenarbeit: standardisiertes, systemgestütztes Lieferanten-Onboarding; Verwaltung von Qualifikationen, Zertifikaten, Nachhaltigkeitsnachweisen und Vertragsunterlagen; automatisierte Workflows für Freigaben, Bewertungen, Eskalationen und Onboarding; zentrale Kommunikation und Statusdokumentation
• Bewertung, Nachhaltigkeit und Risiko: objektive Lieferantenbewertung (Qualität, Termintreue, Kosten); Erfassung und Überwachung von ESG- und Compliance-Informationen; Risikoerfassung und -bewertung (Lieferverzögerungen, Qualitätsmängel, ESG-, finanzielle Risiken)
• **Berechtigungen, Transparenz

• Systemintegration: Anbindung an die Microsoft-Serverlandschaft; zentrale Benutzer- und Identitätsverwaltung (On-Prem AD oder Azure AD); SSO; Lauffähigkeit in Standard-Webbrowsern; Beachtung des Microsoft-Zonenkonzepts und der KRITIS-Firewall; Kompatibilität mit SSL-/TLS-Inspection am Forward-Proxy mit unternehmenseigener Zwischen-CA (kein Certificate Pinning gegen öffentliche Root-CAs)
• Datenverarbeitung: im EWR, vorzugsweise in Deutschland; Mehrfaktor-Authentifizierung; Datenübertragung nach Stand der Technik
• SAP-Integration: SAP bleibt Single Source of Truth für kreditorenrelevante Stammdaten; das SRM-Tool konsumiert SAP-Daten ausschließlich; automatisierter Datenaustausch und Rückmeldung von Status-/Prozessinformationen; eindeutige Lieferantenreferenzierung; sichere und erweiterbare Schnittstellen über gängige Middleware/Integrationsplattformen
• Microsoft-365-Anbindung: SSO und Benutzerverwaltung gemäß MS-Standards; Einbindung in MS-365-Gruppen- und Berechtigungskonzepte; Integration mit Dokumentenablage und Zusammenarbeit

• Hohes Niveau an Verfügbarkeit, Integrität und Vertraulichkeit; regelmäßige Datensicherung; revisionssichere Aufbewahrung
• Zertifizierung nach ISO/IEC 27001 (oder gleichwertig, z. B. BSI C5 Typ 2, SOC 2 Typ II) – Scope muss die SaaS-Leistung umfassen
• Cloud-spezifische Nachweise nach ISO/IEC 27017, ISO/IEC 27018, BSI C5:2020 Typ 2 oder gleichwertig
• Datenschutzkonforme Verarbeitung nach DSGVO; Abschluss des AVV der Stadtreinigung Hamburg

• Analyse der fachlichen und technischen Anforderungen
• Systemseitige Konfiguration und Anpassung
• Datenmigration aus Bestandssystemen
• Einrichtung und Anbindung der Schnittstellen zu Vorsystemen (SAP, MS 365, ggf. Vertragsmanagement)
• Abbildung der Geschäfts- und Freigabeprozesse
• Testunterstützung
• Schulungs- und Einweisungsmaßnahmen
• Übergabe in den produktiven Betrieb inkl. vollständiger Dokumentation
• Jederzeitiger Datenexport in gängigem, maschinenlesbarem Format
• Unterstützung bei geordneter Datenübergabe und -migration bei Vertragsende; Zugriffssicherung im Übergangszeitraum

• LkSG-verpflichtete Auftragnehmer (§ 1 LkSG): Einhaltung der menschenrechts- und umweltbezogenen Verbote; Information bei (Verdacht auf) Verletzungen; Abhilfemaßnahmen; jährliches Kontrollrecht des AG (Vor-Ort-Kontrolle oder Audit) mit mindestens 2 Wochen Vorlauf; alternativ Beauftragung unabhängiger Dritter oder anerkanntes Zertifizierungssystem, Ergebnisse auf Anforderung jährlich
• Nicht LkSG-verpflichtete Auftragnehmer: Mitwirkung und Unterstützung bei Risikoanalyse (§ 5 LkSG), Präventionsmaßnahmen (§ 6 LkSG), Abhilfemaßnahmen (§ 7 LkSG), Beschwerdeverfahren (§ 8 LkSG) und Pflichtenumsetzung bei Zulieferern
• Hinweis auf das anonyme, onlinebasierte Hinweisgebersystem der Stadtreinigung Hamburg

• Optionale Leistungen sind in Leistungsbeschreibung und Preisblatt als „optional" gekennzeichnet; keine Abnahmeverpflichtung des AG; Abruf nach Entscheidung des AG
• Nicht im Leistungsumfang: Beschaffungs- bzw. Bestellplattform, Bestellabwicklung (bleibt über SAP), Vergabe- und Ausschreibungsprozesse (separate Plattform), Vertragsmanagementsystem

• Bereitstellung der internen Projektorganisation (Rollen und Funktionen)
• Bereitstellung erforderlicher Informationen und Unterlagen
• Benennung von Ansprechpartnern
• Reaktion auf Anfragen des Auftragnehmers innerhalb angemessener Fristen (Konkretisierung in der Angebotsphase)

• Eigenerklärung zum Nichtvorliegen von Ausschlussgründen nach §§ 123, 124 GWB (inkl. Straftaten wie Terrorismus, Geldwäsche, Betrug, Bestechung, Menschenhandel; Schwarzarbeit/Mindestlohnverstöße; Insolvenz; schwere berufliche Verfehlung; wettbewerbsbeschränkende Vereinbarungen; Täuschung)
• Eigenerklärung zur Tariftreue und Mindestlohnzahlung gem. § 3 HmbVgG (inkl. Verpflichtung, Nachunternehmer ebenfalls zu verpflichten und zu kontrollieren)
• Eigenerklärung zur Eintragung im Handelsregister oder einem vergleichbaren Register (Registernummer und Amtsgericht)
• Eigenerklärung zu RUS-Sanktionen (keine Auftragserteilung an russische Staatsangehörige/Unternehmen/Lieferanten)
• Eigenerklärung, dass kein Ausschluss nach § 124 Abs. 1 Nr. 3 GWB durch die Finanzbehörde der Freien und Hansestadt Hamburg vorliegt

• Eigenerklärung zum Umsatz in den letzten 3 Geschäftsjahren (2023–2025), insgesamt und im Bereich der angebotenen Leistungen
• Mindestanforderung: Jahresumsatz im Bereich der angebotenen Leistungen ≥ 3 Mio. EUR netto in jedem der letzten 3 Geschäftsjahre (Ausnahme für Neugründungen)
• Bescheinigung einer Betriebs-/Berufshaftpflichtversicherung mit Deckungssummen von jeweils mindestens 5 Mio. EUR für Personen-, Sach- und Vermögensschäden (inkl. Datenschutzschäden); Deckungssumme mindestens 2-fach pro Jahr in Anspruch nehmbar

• Mindestens 3, höchstens 6 vergleichbare Referenzaufträge aus den letzten 3 Jahren vor Angebotsabgabe (2023–2025)
• Vergleichbarkeit nur, wenn kumulativ vorliegen:
• Bereitstellung und Implementierung eines Lieferantenmanagementsystems als SaaS
• Kunde mit ISO-9001-Zertifizierung
• Einsatz bei Auftraggeber mit mindestens zwei rechtlich eigenständigen Konzerngesellschaften, die das System gemeinsam nutzen
• Mindestens 50 lizenzierte User
• Ähnliche Systemumgebung/-struktur wie AG: SAP, Microsoft 365, Vertragsmanagementsystem
• Pro Referenz: Auftraggeber, Ort der Leistungserbringung, Zeitraum, Leistungsbeschreibung, Begründung der Vergleichbarkeit, Ansprechpartner (vom AG verifizierbar)
• Auswahlkriterium (bei > 3 geeigneten Bewerbern): zusätzlich Projektlaufzeit > 3 Jahre; Referenzen mit öffentlichen Auftraggebern (§ 99 GWB) werden besonders berücksichtigt

• Eigenerklärung zur Beschäftigtenzahl zum Zeitpunkt der Anfrage und im Jahresdurchschnitt 2025 (insgesamt und im Bereich SaaS-Bereitstellung/Implementierung)
• Mindestanforderung: ≥ 20 Mitarbeitende im Bereich Bereitstellung/Implementierung von SaaS zum Zeitpunkt der Anfrage und im JD 2025
• Nachweis eines Qualitätsmanagementsystems (z. B. ISO 9001 oder gleichwertig)
• Nachweis eines Energiemanagementsystems (z. B. ISO 50001 oder gleichwertig)

• Nachweis ISO/IEC 27001 (aktuell 27001:2022), gültig, ausgestellt von nach ISO/IEC 17021 akkreditierter Stelle; Scope muss die ausgeschriebene SaaS-Leistung sowie die Prozesse, Standorte und Systeme ausdrücklich umfassen. Aufrechterhaltung über die gesamte Vertragslaufzeit mit jährlichem Nachweis. Einzureichen: Zertifikatskopie, Scope-Statement, ausstellende Stelle, Ausstellungs- und Gültigkeitsdatum. Gleichwertig akzeptiert: BSI C5 Typ 2 Testat, SOC 2 Typ II Report (mit dargelegter Gleichwertigkeit)
• Nachweis Cloud-Sicherheit: mindestens einer der Nachweise ISO/IEC 27017, ISO/IEC 27018, BSI C5:2020 Typ 2 oder gleichwertig. Bei Cloud-/RZ-Infrastruktur durch Unterauftragnehmer (z. B. Hyperscaler): Nachweis, dass diese ihrerseits gültige ISO/IEC-27001-Zertifizierung sowie mindestens einen cloud-spezifischen Nachweis besitzen. Einzureichen: Zertifikats-/Testatskopien, Liste der NU mit Rolle, Standort und Zertifikaten, Scope-Darstellung
• Eigenerklärung zum Standort der eingesetzten Rechenzentren (Datenverarbeitung im EWR, vorzugsweise Deutschland)
• Eigenerklärung zur datenschutzkonformen Verarbeitung personenbezogener Daten (DSGVO) und zu technisch-organisatorischen Maßnahmen (TOMs)

• Formblätter des Auftraggebers verwenden, soweit vorhanden; sonst Eigenerklärung oder Nachweisdokument
• Bereits früher eingereichte Unterlagen können nur berufen werden, wenn das vorherige Verfahren (mit SRH-Vergabenummer) und das Datum der Einreichung genau angegeben werden; SRH empfiehlt dennoch die erneute Vorlage
• Bewerbergemeinschaften: Nachweise für jedes Mitglied einzeln (außer Vollmacht)
• Inhaltliche Aktualität wiederverwendeter Unterlagen muss sichergestellt sein