Öffentliche Ausschreibungen icc hofmann - Ingenieurbüro für technische Informatik
Am Stockborn 16, 60439 Frankfurt/M, FRG
Tel.: +49 6082-910101 Fax.: +49 6082-910200
E-Mail: info@icc-hofmann.net
Öffentliche Ausschreibungen

Titel : DE-München - Kartenzahlungsgeräte für die ÄDBV
Dokument-Nr. ( ID / ND ) : 2019081113575776031 / 873168-2019
Veröffentlicht :
13.08.2019
Anforderung der Unterlagen bis :
06.09.2019
Angebotsabgabe bis :
06.09.2019
Dokumententyp : Ausschreibung
Vertragstyp : Dienstleistungsauftrag
Verfahrensart : Offenes Verfahren
Unterteilung des Auftrags : Gesamtangebot
Zuschlagkriterien : Wirtschaftlichstes Angebot
Produkt-Codes :
30216200 - Magnetkartenleser
72300000 - Datendienste
Kartenzahlungsgeräte für die ÄDBV

VERGABEUNTERLAGEN
2019MRE000003
Kartenzahlungsgeräte für die ÄDBV
Öffentliche Ausschreibung (UVgO)
Ausschreibung
AUFTRAGGEBER
Freistaat Bayern vertreten durch das Bayerische Landesamt für Steuern - Zentrale
Vergabestelle
Sophienstr. 6, 80333 München, Deutschland
05.08.2019
Inhaltsverzeichnis
Vergabeunterlagen...............................................................................................................
............................................ 1
Projektinformation
................................................................................................................................
.................... 1
Vergabeunterlagen...............................................................................................................
.................................... 2
Angebotsaufforderung............................................................................................................
.......................... 2
Bewerbungsbedingungen
UVgO...................................................................................................................... 3
1. Gegenstand der Auftragsvergabe
........................................................................................................ 3
2. Angebotsabgabe
................................................................................................................................
.. 3
2.1. Fristen
................................................................................................................................
............... 3
2.2. Form des Angebots
........................................................................................................................... 4
2.2.1. Einfache
Textform........................................................................................................................
.. 4
2.2.2. Elektronische Signatur
................................................................................................................... 4
2.3. Weitere Festlegungen zur
Angebotsabgabe..................................................................................... 4
2.4. Bietergemeinschaften, Unterauftragnehmer und verbundene Unternehmen.................................... 7
2.4.1.
Bietergemeinschaften............................................................................................................
......... 7
2.4.2. Unterauftragnehmer
....................................................................................................................... 8
2.4.3. Verbundene
Unternehmen............................................................................................................. 9
2.5. Wettbewerbsbeschränkende Verhaltensweisen ...............................................................................
9
3. Hinweise zu Prüfung und Wertung von Angeboten..............................................................................
9
4. Bevorzugte
Bieter..........................................................................................................................
....... 10
5. Abschluss des
Vergabeverfahrens....................................................................................................... 10
6. Kommunikation im
Vergabeverfahren.................................................................................................. 10
Eigenerklärung
................................................................................................................................
................. 11
Scientology-Schutzerklärung....................................................................................................
........................ 13
1. Erklärung zum Vergabeverfahren
........................................................................................................ 13
2. Erklärung für den Fall der
Zuschlagserteilung...................................................................................... 13
3. Hinweis nach Art. 16 Abs. 3 des Bayerischen Datenschutzgesetzes: ................................................. 13
Struktur Bieter
................................................................................................................................
.................. 15
1. Die Teilnahme am Verfahren erfolgt
als:.............................................................................................. 15
2. Folgende Unternehmen sind Mitglieder der Bietergemeinschaft: ........................................................ 15
3. Bevollmächtigter
Vertreter:................................................................................................................... 16
4. Weitere Angaben zu verbundenen Unternehmen oder Unterauftragnehmern:.................................... 16
Gewerbezentralregister
................................................................................................................................
.... 17
1. Name des Unternehmens
.................................................................................................................... 17
2.
Unternehmensform................................................................................................................
............... 17
3. Juristische
Personen/Personenvereinigungen..................................................................................... 17
4. Natürliche Person / GbR
...................................................................................................................... 18
EVB-IT
Systemvertrag...................................................................................................................
................... 19
1 Gegenstand, Vergütung und Bestandteile des Vertrages ..................................................................... 22
1.1
Vertragsgegenstand..............................................................................................................
..... 22
i
1.2
Vergütung......................................................................................................................
............. 23
1.3 Vertragsbestandteile*
................................................................................................................. 23
1.3.1 dieser Vertragstext bestehend aus den Seiten 1 bis 39 und den folgenden Anlagen:.... 23
2 Übersicht über die vereinbarten
Leistungen.......................................................................................... 24
2.1 Leistungen bis zur
Abnahme...................................................................................................... 24
2.2 Leistungen nach der Abnahme
.................................................................................................. 24
2.3 Vorgehensmodell
....................................................................................................................... 25
3 Systemumgebung* des Gesamtsystems und beizustellende Systemkomponenten* ........................... 25
4 Leistungen des Auftragnehmers zur Erstellung des Gesamtsystems................................................... 25
4.1 Verkauf von
Hardware................................................................................................................ 25
4.2 Vermietung von
Hardware.......................................................................................................... 25
4.3 Überlassung von Standardsoftware* gegen Einmalvergütung auf Dauer (Verkauf) entfällt .. 27
4.3.1 Leistungsumfang und Vergütung .................................................................................... 27
4.3.2 Mitteilung über Anpassungen der Standardsoftware* auf Quellcodeebene.................... 28
4.3.3 Abweichende Lizenzbedingungen................................................................................... 28
4.3.4 Bereitstellung der Standardsoftware*.............................................................................. 28
4.4 Überlassung von Standardsoftware* auf Zeit (Vermietung) ....................................................... 29
4.4.1 Leistungsumfang und Vergütung .................................................................................... 29
4.4.2 Mitteilung über Anpassungen der Standardsoftware* auf Quellcodeebene.................... 30
4.4.3 Abweichende Lizenzbedingungen................................................................................... 30
4.4.4 Bereitstellung der Standardsoftware*.............................................................................. 30
4.5 Erstellung und Überlassung von Individualsoftware* auf Dauer ................................................ 31
4.6 Übernahme von Altdaten und andere Migrationsleistungen ...................................................... 31
4.7 Erstellung des Gesamtsystems und Herbeiführung der Betriebsbereitschaft*........................... 31
4.7.1
Leistungsumfang............................................................................................................. 31
4.7.2 Abweichende Nutzungsrechtsvereinbarungen................................................................ 31
4.7.3
Vergütung......................................................................................................................
.. 31
4.8 Schulung
................................................................................................................................
.... 31
4.9 Dokumentation
........................................................................................................................... 31
4.10 Sonstige Leistungen zur Systemerstellung .............................................................................. 32
4.10.1
Leistungsumfang........................................................................................................... 32
4.10.2
Vergütung......................................................................................................................
32
5
Systemservice...................................................................................................................
.................... 32
5.1 Arten von Systemserviceleistungen
........................................................................................... 32
5.1.1 Wiederherstellung der Betriebsbereitschaft* des Gesamtsystems (Störungsbeseitigun 32
5.1.1.1 Störungsmeldung ................................................................................................. 33
5.1.1.1.1 Form der Störungsmeldung....................................................................... 33
5.1.1.1.2 Adresse für Störungsmeldungen............................................................... 33
5.1.1.2 Reaktions-* und Wiederherstellungszeiten*,Mängelklassen ................................ 33
5.1.1.3 Servicezeiten........................................................................................................ 34
5.1.1.4 Hotline
.................................................................................................................. 34
5.1.2 Aufrechterhaltung der Betriebsbereitschaft* (vorbeugende Maßnahmen) ...................... 34
ii
5.1.3 Überlassung von verfügbaren Programmständen* (Standardsoftware*) ........................ 34
5.2 Beginn / Dauer der Systemserviceleistungen ............................................................................ 35
5.3 Kündigung von Systemserviceleistungen................................................................................... 35
5.4 Vergütung/Zahlungsfristen für Systemserviceleistungen ........................................................... 36
5.4.1
Vergütung......................................................................................................................
.. 36
5.4.2 Zahlungsfristen für Systemserviceleistungen.................................................................. 36
5.5 Sonstige Regelungen zu Systemserviceleistungen ................................................................... 36
5.5.1
Teleservice*....................................................................................................................
. 36
5.5.2 Abnahme der Systemserviceleistungen .......................................................................... 36
5.5.3 Dokumentation der Systemserviceleistungen ................................................................. 36
6 Weitere Leistungen nach der
Abnahme................................................................................................ 36
6.1 Weiterentwicklung und Anpassung des Gesamtsystems nach der Abnahme ........................... 36
6.2 Sonstige Leistungen nach der Abnahme ................................................................................... 37
6.2.1
Leistungsumfang............................................................................................................. 37
6.2.2
Vergütung......................................................................................................................
.. 37
7 Ergänzende Vereinbarungen bei Vergütung nach Aufwand entfällt ................................................. 37
7.1 Vereinbarung der Preiskategorien bei Vergütung nach Aufwand .............................................. 37
7.2 Zeiten der Leistungserbringung bei Vergütung nach Aufwand .................................................. 37
7.2.1 Während der Geschäftszeiten an Werktagen (außer an Samstagen und Feiertagen a . 37
7.2.2 Außerhalb der Geschäftszeiten an Werktagen (außer an Samstagen und Feiertagen . 38
7.2.3 Während sonstiger Zeiten ...............................................................................................
38
7.3 Abweichende Regelungen für die Bestimmung und Vergütung von Personentagessätzen ...... 38
7.4 Reisekosten, Nebenkosten*, Materialkosten und Reisezeiten................................................... 38
7.4.1 Reisekosten, Nebenkosten* und Materialkosten............................................................. 38
7.4.2
Reisezeiten.....................................................................................................................
. 39
7.5 Besondere Bestimmungen zur Vergütung nach Aufwand.......................................................... 39
7.6 Preisanpassung für Systemserviceleistungen, die nicht im Pauschalfestpreis* enthalten sind . 39
8 Termin- und
Leistungsplan...................................................................................................................
. 39
9
Zahlungsplan....................................................................................................................
.................... 40
10 Projektmanagement
............................................................................................................................ 41
10.1
Ansprechpartner.................................................................................................................
...... 41
des Auftragnehmers (Schlüsselpositionen):.....................................................................................
41
10.2 Weitere Schlüsselpositionen des Auftragnehmers................................................................... 42
10.3 Projektsteuerung/Projektkoordinierung ....................................................................................
42
10.4 Behandlung von Änderungsverlangen (Change Requests) ..................................................... 42
11 Weitere Pflichten des
Auftragnehmers................................................................................................ 42
11.1 Besondere Anforderungen an Mitarbeiter des Auftragnehmers............................................... 42
11.2 Allgemeine Sicherheitsanforderungen .....................................................................................
43
11.3 Kopier- oder
Nutzungssperre*.................................................................................................. 43
11.4 Mitteilungspflicht bezüglich der zur Vertragserfüllung eingesetzten Werkzeuge* .................... 43
11.5 Entsorgung der Hardware (ergänzend zu Ziffer 2.1 EVB-IT System-AGB) ............................. 43
11.6 Entsorgung der
Verpackung..................................................................................................... 43
iii
12 Mitwirkung des
Auftraggebers............................................................................................................. 43
13
Abnahme.........................................................................................................................
.................... 44
13.1 Gegenstand der Abnahme
....................................................................................................... 44
13.2 Testdaten
................................................................................................................................
. 44
13.3 Dauer, Ort und Systemumgebung* der Funktionsprüfung ....................................................... 44
13.4 Vereinbarungen zur Durchführung der Funktionsprüfung und zur Erklärung der Abnahme .... 45
13.5 Vereinbarungen zu Mängelklassen im Rahmen der Funktionsprüfung.................................... 45
14 Mängelhaftung (Gewährleistung)
........................................................................................................ 45
14.1 Verjährungsfrist (Gewährleistungsfrist) für Mängel des Gesamtsystems................................. 45
14.2 Verjährungsfrist (Gewährleistungsfrist) für Mängel an Teilleistungen ...................................... 45
14.3
Mängelmeldungen................................................................................................................
.... 45
14.3.1 Form der Mängelmeldung ............................................................................................. 45
14.3.2 Adresse für Mängelmeldungen ..................................................................................... 46
14.4 Reaktions-* und Wiederherstellungszeiten*, Servicezeiten, Hotline ........................................ 46
14.4.1 Reaktions-* und Wiederherstellungszeiten*, Mängelklassen ........................................ 46
14.4.2
Servicezeiten.................................................................................................................
47
14.4.3 Hotline
........................................................................................................................... 47
14.5
Teleservice*....................................................................................................................
.......... 47
14.6 Weitere Vereinbarungen zur Mängelhaftung............................................................................ 47
15
Haftungsregelungen..............................................................................................................
.............. 48
15.1 Haftungsobergrenze bei leicht fahrlässiger Pflichtverletzung................................................... 48
15.2 Haftung bei
Verzug................................................................................................................... 48
15.3 Haftung für den Systemservice
................................................................................................ 48
15.4 Haftung für entgangenen Gewinn
............................................................................................ 48
16 Vertragsstrafen bei
Verzug.................................................................................................................. 48
16.1 Verzug bei Erstellung des Gesamtsystems.............................................................................. 48
16.2 Verzug bei Reaktions-* und Wiederherstellungszeiten*........................................................... 49
17 Weitere Vereinbarungen
..................................................................................................................... 49
17.1
Garantien.......................................................................................................................
........... 49
17.1.1 Auftragnehmergarantien................................................................................................ 49
17.1.2
Herstellergarantien........................................................................................................ 49
17.2 Übergabe bzw. Hinterlegung des Quellcodes*......................................................................... 49
17.3
Haftpflichtversicherung.........................................................................................................
.... 49
17.4 Sicherheiten
............................................................................................................................. 50
17.4.1 Vorauszahlungsbürgschaft............................................................................................ 50
17.4.2 Vertragserfüllungs- oder Mängelhaftungssicherheit...................................................... 50
17.4.3 Kombinierte Vertragserfüllungs- oder Mängelhaftungssicherheit.................................. 50
17.5 Datenschutz, Geheimhaltung und Sicherheit ........................................................................... 51
17.6 Vereinbarungen zur Korruptionsprävention.............................................................................. 51
17.7 Kündigungsrecht des Auftraggebers
........................................................................................ 51
17.8 Sonstige
Vereinbarungen......................................................................................................... 51
17.8.1 Vermietung von Hardware............................................................................................. 51
iv
17.8.2 Überlassung von Standardsoftware auf Zeit (Vermietung) ........................................... 52
17.8.3 Einrichtung eines Netzservices und Abwicklung von Zahlungen .................................. 52
17.8.4
Reporting.......................................................................................................................
54
17.8.5 Optionale Leistungen
.................................................................................................... 54
17.8.6 Vergütung des Gesamtsystems .................................................................................... 54
17.8.7 Preisanpassungsklausel................................................................................................ 55
17.8.8 Kündigung des gesamten Systemvertrags.................................................................... 55
17.8.9 Vertragsstrafe bei Schlechtleistung............................................................................... 56
17.8.10 Keine Arbeitnehmerüberlassung ................................................................................. 56
17.8.11 Vertraulichkeitserklärung.............................................................................................
56
17.8.12 Korruptionsprävention und pauschalisierter Schadensersatz ..................................... 56
17.8.13 Datenschutzvereinbarung ........................................................................................... 56
17.8.14 Verpflichtungserklärung...............................................................................................
57
17.8.15
Abtretung.....................................................................................................................
57
17.8.16 Gerichtsstand
.............................................................................................................. 57
17.8.17
Schriftformklausel........................................................................................................ 57
17.8.18 Salvatorische Klausel
.................................................................................................. 57
Anlage 1 Leistungsbeschreibung mit Anlagen
................................................................................................. 58
Leistungsbeschreibung
............................................................................................................................ 58
1
Einleitung......................................................................................................................
................. 60
1.1 Das Landesamt für Digitalisierung, Breitband und Vermessung........................................ 60
1.2
Vertragsgegenstand........................................................................................................... 60
1.3 Vertragslaufzeit
.................................................................................................................. 60
1.4 Technische Änderungen, Weiterentwicklungen ................................................................. 61
2 Einzelne
Vertragsbestandteile....................................................................................................... 61
2.1 Anmietung von 73 Geräten ................................................................................................
61
2.1.1 Allgemeine Anforderungen...................................................................................... 61
2.1.2 Hardware.................................................................................................................
61
2.1.3 Software
.................................................................................................................. 62
2.1.4 Programmierung der Geräte ................................................................................... 62
2.1.5 Anbindung der Kartenzahlungsgeräte an den Server des Auftragnehmers............ 63
2.1.6 Pilotbetrieb an einem Standort ................................................................................ 64
2.1.7 Beifügen einer Dokumentation ................................................................................ 64
2.1.8 Umgebungsbedingungen ........................................................................................ 64
2.1.9 Barrierefreie Gestaltung .......................................................................................... 65
2.1.10 Lieferung der Geräte ............................................................................................. 65
2.1.11 Rücknahme der Geräte ......................................................................................... 65
2.2 Full-Service
........................................................................................................................ 65
2.2.1 Servicehotline..........................................................................................................
65
2.2.2 Wiederherstellungszeit ............................................................................................ 66
2.2.3 Wartung und Reparatur der Geräte / Updates / Upgrades...................................... 66
2.2.4 Änderung der Stammdaten ..................................................................................... 66
v
2.3 Abwicklung von Zahlungen ................................................................................................ 67
2.3.1 Zahlungsarten ......................................................................................................... 67
2.3.2 Zahlungsvorgang..................................................................................................... 67
2.3.2.1 Bezahlvorgang beim Zahlungspflichtigen..................................................... 67
2.3.2.2 Einzug beim Zahlungspflichtigen.................................................................. 67
2.3.2.3 Gutschrift auf das Konto des Auftraggebers ................................................ 67
2.3.3 Anforderungen an die Gutschrift ............................................................................. 68
2.4
Reporting.......................................................................................................................
..... 68
2.5 Sonstige
Leistungen........................................................................................................... 68
3
Vergütung......................................................................................................................
................ 69
Anlage Sicherheitsrichtlinien
.................................................................................................................... 70
Anlage
Dienststellen...................................................................................................................
.............. 101
bvv-dienststellen...............................................................................................................
................ 101
Vereinbarung_zur_Auftragsverarbeitung
......................................................................................................... 105
Inhaltsverzeichnis..............................................................................................................
....................... 106
Präambel
................................................................................................................................
.................. 107
1
Anwendungsbereich...............................................................................................................
............ 108
2 Konkretisierung des
Auftragsinhalts................................................................................................... 108
3 Verantwortlichkeit und
Weisungsbefugnis.......................................................................................... 108
4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter ................................... 110
5 Technische und organisatorische Maßnahmen und deren Kontrolle ................................................. 110
6 Mitteilung bei Verstößen durch den Auftragsverarbeiter
.................................................................... 112
7 Löschung und Rückgabe von Daten
.................................................................................................. 112
8
Subunternehmen..................................................................................................................
.............. 113
9
Datenschutzkontrolle............................................................................................................
.............. 114
10 Anweisungs-, empfangs- und kontrollberechtigte Personen ............................................................ 114
11 Schlussbestimmungen
..................................................................................................................... 114
Anhang
1...............................................................................................................................
................... 115
Niederschrift über die Verpflichtungserklärung
........................................................................................ 115
Anhang
2...............................................................................................................................
................... 117
Technische und organisatorische Maßnahmen
....................................................................................... 117
1 Technische und organisatorische Sicherheitsmaßnahmen................................................................ 117
2 Innerbehördliche oder innerbetriebliche Organisation des Auftragsverarbeiters ............................... 117
3 Konkretisierung der Einzelmaßnahmen
............................................................................................. 118
Anhang
3...............................................................................................................................
................... 121
Muster eines Löschungsprotokolls
........................................................................................................... 121
Anhang
4...............................................................................................................................
................... 122
Liste der anweisungs-, empfangs- und kontrollberechtigte Personen...................................................... 122
Produkte/Leistungen
................................................................................................................................
................ 123
Kriterienkatalog
................................................................................................................................
........................ 128
Anlagen
................................................................................................................................
.................................... 133
vi
VERFAHRENSINFORMATIONEN
Ausschreibung
05.08.2019
Verfahren: 2019MRE000003 - Kartenzahlungsgeräte für die ÄDBV
INFORMATIONEN ZUR AUSSCHREIBUNG
ALLGEMEIN
Auftragsname Kartenzahlungsgeräte für die ÄDBV
Auftraggeber Freistaat Bayern vertreten durch das Bayerische Landesamt für Steuern - Zentrale Vergabestelle
Liefer-/Ausführungsort 80538 München
VERFAHREN
Vergabeart Öffentliche Ausschreibung (UVgO)
Losweise Vergabe Nein
Nebenangebote Nebenangebote sind nicht zugelassen
Zuschlagskriterium Niedrigster Preis
TERMINE
Frist Bieterfragen 29.08.2019 12:00
Angebotsfrist 06.09.2019 10:00:00
Bindefrist 08.10.2019
ANGEBOTE
Verwendung elektronischer
Mittel
Die Einreichung der Angebote/Teilnahmeanträge darf nur elektronisch erfolgen
Geforderte Signaturen Textform nach 126b BGB
ELEKTRONISCHE TEILNAHME
BROWSEREINSTELLUNGEN
Verwenden Sie zur Navigation in eVergabe nur die Menüpunkte der Anwendung. Wenn Sie über die Browser - Schaltflächen
navigieren, werden die Informationen nicht zum Anwendungsserver übertragen und eVergabe zeigt ggf. eine falsche Seite an.
Eventuell gehen Daten verloren!
Sicherheitseinstellungen an Ihrem Browser:
JavaScript muss aktiviert sein
Cookies (insbesondere Sitzungscookies) müssen erlaubt sein
Pop-Ups müssen erlaubt sein
Internet Explorer Version 10 und höher, Mozilla Firefox oder Safari als mögliche Browser
Internet Explorer 11 nur ohne die Einstellung "Kompatibilitätsansicht"
ANGEBOT ERSTELLEN UND ABGEBEN
Nachdem alle Arbeitsschritte erledigt sind, klicken Sie im Assistenten auf "Angebot abgeben" und geben im Feld "Unterschrift des
Angebotsersteller(in)" den Unterzeichner an. Zum Abgeben des Angebots klicken Sie in der Menüzeile auf "Angebot abgeben". Damit
ist die Textform nach 126b BGB bereits erfüllt.
Falls oben unter Angebote / Geforderte Signaturen eine qualifizierte elektronische Signatur oder eine fortgeschrittene
elektronische Signatur vorgegeben ist, müssen Sie Ihr Angebot noch entsprechend elektronisch signieren. Der genaue Ablauf und
die Anforderungen an die benötigten Komponenten sind im Bieter-Handbuch erläutert.
Nach erfolgreicher elektronischer Angebotsabgabe erhalten Sie Ihr Angebot als PDF-Datei.
KOMMUNIKATION
Die Kommunikation mit der Vergabestelle, insbesondere zu Nachforderungen, sowie das Stellen von Bieterfragen erfolgt
ausschließlich
im jeweiligen Verfahren über den Bieterassistenten unter "Nachrichten".
Sie erhalten hierzu unmittelbar eine Benachrichtigung per E-Mail. Bitte prüfen Sie in diesem Fall Ihren Posteingang unter
"Nachrichten"
und bestätigen dort die Kenntnisnahme.
Verfahrensinformationen - 1/1
1
Projekt-Nr.:
Aktenzeichen:
Projektname:
Firmenbezeichnung und Anschrift Angaben zu Fristen und Ansprechpartner
Ablauf der Angebotsfrist:
Ablauf der Bindefrist:
voraussichtliche Ausführungsfrist:
Beginn:
Ende:
E-Mail:
Datum:
Aufforderung zur Angebotsabgabe
Sehr geehrte Damen und Herren,
die Vergabestelle beabsichtigt, einen öffentlichen Auftrag zu vergeben.
Falls Sie an diesem Auftrag interessiert sind, bitten wir Sie, ein Angebot abzugeben.
Es gelten die angefügten Bewerbungsbedingungen.
Wir würden uns über ein Angebot Ihrerseits sehr freuen.
Freundliche Grüße
Kartenzahlungsgeräte für die ÄDBV
2019MRE000003
H 1620.2.1-964
06.09.2019 10:00:00
08.10.2019
01.01.2020
31.12.2023
ausschreibung@lfst.bayern.de
05.08.2019
Matthias Reitner
2
Projekt-Nr.:
Aktenzeichen:
Projektname:
Bewerbungsbedingungen
1. Gegenstand der Auftragsvergabe
2. Angebotsabgabe
2.1. Fristen
Die Angebotsfrist endet am Uhr. Der Bieter kann sein Angebot nur bis
zum Ablauf der Angebotsfrist zurückziehen oder berichtigen.
Der Auftraggeber wird den Zuschlag spätestens am erteilen. Der Bieter ist bis
dahin an sein Angebot gebunden (Bindefrist).
Die Frist für Bieterfragen endet am Uhr.
Fragen, die nicht rechtzeitig eingehen werden grundsätzlich nicht beantwortet.
Anmietung von 73 Kartenzahlungsgeräten, Zahlungsabwicklung, Full-Service und Reporting
für alle Dienststellen der Ämter für Digitalisierung, Breitband und Vermessung.
06.09.2019 10:00:00
08.10.2019
29.08.2019 12:00
2019MRE000003
H 1620.2.1-964
Kartenzahlungsgeräte für die ÄDBV
3
2.2. Form des Angebots
Das Angebot ist in elektronischer Form abzugeben.
Konventionelle schriftliche Angebote in Papierform werden nicht berücksichtigt.
Die Angebotserstellung erfolgt komplett über die Vergabeplattform eVergabe. Sie können die
online-Bearbeitung des Angebots jederzeit unterbrechen und sich dann wieder über die
Vergabeplattform in den Angebotsassistenten (durch Auswahl des entsprechenden
Verfahrens in der Registerkarte Meine Angebote) einwählen.
Die erforderlichen Arbeitsschritte zur Erstellung eines elektronischen Angebots sind im
Bieter-Handbuch dargestellt.
Die Vergabestelle hat für die rechtsgültige Abgabe der Angebote entweder ein zwingendes
Formerfordernis oder mehrere alternativ gültige Formerfordernisse vorgegeben, die Ihnen im
Schritt Angebot unterschreiben zur Auswahl angeboten werden:
Einfache Textform
Bei Auswahl der Textform nach 126b BGB genügt die Angabe eines Angebotserstellers im
dafür vorgesehenen Feld und die anschließende Bestätigung über den Button
Unterschreiben.
Elektronische Signatur
Bei Auswahl einer elektronischen Signatur müssen Sie Ihr Angebot noch mit einer
fortgeschrittenen oder qualifizierten elektronischen Signatur gemäß 2 Nr. 2. und Nr. 3 des
Gesetzes über Rahmenbedingungen für elektronische Signaturen versehen.
Bitte beachten Sie hierfür die im Angebotsassistenten beschriebene Vorgehensweise.
Der genaue Ablauf und die Anforderungen an die benötigten Komponenten sind im
Bieter-Handbuch erläutert.
2.3. Weitere Festlegungen zur Angebotsabgabe
Das Angebot muss vollständig sein. Alle geforderten Leistungsmerkmale müssen
angeboten werden und in den angebotenen Preispositionen enthalten sein.
Alle Nebenkosten, die bei der Erbringung der Leistungen entstehen, müssen in der
Preiskalkulation berücksichtigt sein, sofern sie in den Vergabeunterlagen nicht
gesondert abgefragt werden.
4
Preise im Angebot sind in Euro anzugeben, Zahlungen erfolgen ebenfalls in Euro.
Entspricht der Gesamtbetrag einer Position nicht dem Ergebnis der Multiplikation von
Mengenansatz und Einheitspreis, so ist der Einheitspreis maßgebend.
Der Aufbau des Angebots ergibt sich aus den Vergabeunterlagen. Es sind
ausschließlich die von der Vergabestelle elektronisch zur Verfügung gestellten
Vergabeunterlagen in der zuletzt gültigen Fassung zu verwenden.
Die geforderten Unterlagen sind dem Angebot bis zum Ablauf der Angebotsfrist
beizufügen, es sei denn es ergibt sich aus den Vergabeunterlagen im Übrigen etwas
anderes.
Nachweise, die bei Angebotsabgabe zu erbringen sind, müssen im Arbeitsschritt
Eigene Anlagen elektronisch beigefügt werden. Dateien unterliegen hinsichtlich
Größe und Benennung Beschränkungen, auf die gesondert hingewiesen wird.
Der Auftraggeber behält sich Nachforderungen nach Maßgabe des 41 Abs. 2 UVgO
vor.
Bitte beachten Sie, dass Verweise auf Datenträger, Literatur, Broschüren usw. die
geforderten Antworten und Erklärungen nicht ersetzen. Sie werden nicht bewertet.
Änderungen und Ergänzungen an den Vergabeunterlagen sind unzulässig und führen
zum Ausschluss des Angebots.
Das gilt insbesondere dann, wenn das Angebot die Allgemeinen
Geschäftsbedingungen des Bieters enthält.
Bitte bedenken Sie, dass auch ein von Ihnen beigefügtes Begleitschreiben oder
Ausführungen in einem geforderten Konzept etc. die Vergabeunterlagen in diesem
Sinne ändern können.
Betriebs- oder Geschäftsgeheimnisse sind in den Angebotsunterlagen entsprechend
kenntlich zu machen. Im Angebot ist anzugeben, ob für den Gegenstand des Angebots
gewerbliche Schutzrechte bestehen oder vom Bieter oder anderen beantragt sind.
Sämtliche Unterlagen sind in der gemäß den Vergabeunterlagen geforderten Form
einzureichen. Unterlagen die nicht der vorgegebenen Form entsprechen, gelten als
nicht abgegeben.
Das Angebot mit allen Anlagen ist in deutscher Sprache abzufassen.
5
Sofern Nachweise oder Erklärungen gefordert sind, die ein Bieter eines europäischen
Mitgliedstaates objektiv nicht beibringen kann, werden vergleichbare Nachweise oder
Erklärungen nach dem Recht des Sitzes des Bieters anerkannt. Soweit nichts anderes
bestimmt ist, sind hierfür Übersetzungen vorzulegen, die durch einen amtlich
vereidigten Übersetzer gefertigt wurden.
Die Bieter haben auf erkannte Widersprüche und Fehler in den Vergabeunterlagen
hinzuweisen.
Konkretisieren die Antworten des Auftraggebers auf Bieterfragen die
Vergabeunterlagen, werden die Antworten Bestandteil und Gegenstand der
Vergabeunterlagen. Maßgeblich sind jeweils die zeitlich letzten Antworten des
Auftraggebers.
Für die Erstellung des Angebots wird keine Vergütung gewährt. Dem Angebot
beigefügte Unterlagen, Muster usw. gehen, sofern nichts anderes vereinbart, ohne
Anspruch auf Vergütung in das Eigentum des Auftraggebers über.
Die Vergabeunterlagen dürfen nur zur Erstellung des Angebotes verwendet werden.
Jede Weitergabe oder Veröffentlichung (auch auszugsweise) der Vergabeunterlagen
ohne schriftliche Zustimmung des Auftraggebers ist unzulässig.
Der Bieter hat auch nach Beendigung des Verfahrens über die ihm bekannt
gewordenen vertraulichen Informationen des Auftraggebers Verschwiegenheit zu
wahren. Bei Verzicht auf eine Angebotsabgabe oder für den Fall, dass das Angebot
den Zuschlag nicht erhält, sind alle Vergabeunterlagen zu vernichten.
Für das Vergabeverfahren gilt deutsches Recht.
Soweit sich aus den Vergabeunterlagen nichts anderes ergibt, gelten die Allgemeinen
Vertragsbedingungen für die Ausführung von Leistungen (VOL/B) in der derzeit
gültigen Fassung nachrangig zu den Regelungen in den Vergabeunterlagen.
Falls während der Angebotsphase die Vergabeunterlagen durch den Auftraggeber
geändert werden sollten (Korrekturzyklus), verlieren automatisch alle bis dahin
abgegebenen Angebote ihre Gültigkeit. Zur Erreichbarkeit des Bieters für diese Fälle
siehe Tz. 6 unten. Falls ein Angebot aufrechterhalten werden soll, muss es über den
Angebotsassistenten erneut abgegeben werden. Hierzu kann eine automatisch
angelegte Kopie des bisherigen Angebots als gültiges Angebot bestätigt werden.
Es werden nur Angebote fachkundiger und leistungsfähiger Bieter berücksichtigt, bei
denen keine Ausschlussgründe vorliegen.
6
Die Eignung der Bieter wird anhand der geforderten Erklärungen und Nachweise
beurteilt. Sofern geforderte Erklärungen und Nachweise bereits bei der Eintragung in
ein amtliches Verzeichnis oder einer Zertifizierung im Sinn des 35 Abs. 6 UVgO
abgegeben wurden, kann ersatzweise die Bescheinigung der aktuellen Eintragung
oder Zertifizierung vorgelegt werden. Darüber hinaus gehende Anforderungen müssen
gesondert nachgewiesen werden.
Im Falle der Bildung einer Bietergemeinschaft oder der Unterbeauftragung oder
sonstigen Berufung auf die Leistungsfähigkeit eines Dritten (Eignungsleihe) können
sich die Angaben und Erklärungen für die einzelnen Unternehmen ergänzen, um die
insgesamt erforderliche Leistungsfähigkeit nachzuweisen.
Sofern ein Bieter bzw. eine Bietergemeinschaft zum Nachweis der Leistungsfähigkeit
die Kapazitäten anderer Unternehmen in Anspruch nehmen möchte, ist nachzuweisen,
dass die für den Auftrag erforderlichen Mittel bei der Ausführung des Auftrags
tatsächlich zur Verfügung stehen. Der Nachweis kann z. B. durch eine entsprechende
unterschriebene Verpflichtungserklärung des Dritten erfolgen.
2.4. Bietergemeinschaften, Unterauftragnehmer und verbundene Unternehmen
Bietergemeinschaften
Die Angebotsabgabe ist durch Einzelbieter und Bietergemeinschaften möglich, soweit die
Bildung der Bietergemeinschaft kartell- und wettbewerbsrechtlich zulässig ist. Das Vorliegen
der kartell- und wettbewerbsrechtlichen Voraussetzungen ist dem Auftraggeber auf Verlangen
nachzuweisen.
Eine Bietergemeinschaft hat mit ihrem Angebot eine von allen Mitgliedern rechtsverbindlich
unterschriebene Erklärung abzugeben
in der die Bildung einer Arbeitsgemeinschaft im Auftragsfall erklärt ist,
in der alle Mitglieder mit postalischer Anschrift und unter Bezeichnung ihrer
Vertretungsverhältnisse aufgeführt sind und ein von allen für die Durchführung des
Vergabeverfahrens und Vertrages gegenüber dem Auftraggeber bevollmächtigter
Vertreter bezeichnet ist,
dass dieser Vertreter gegenüber dem Auftraggeber alle Mitglieder rechtsverbindlich
vertritt,
dass alle Mitglieder für die Erfüllung sämtlicher vertraglichen Verpflichtungen als
Gesamtschuldner haften,
7
in der eine Kontonummer bei einem näher bezeichneten Kreditinstitut angegeben ist,
auf die sämtliche Zahlungen des Auftraggebers mit befreiender Wirkung für alle am
Vertrag Beteiligten geleistet werden können.
In Verträgen zwischen Mitgliedern von Arbeitsgemeinschaften sind die Belange kleiner und
mittlerer Unternehmen angemessen zu berücksichtigen. Dies ist dem Auftraggeber auf
Verlangen nachzuweisen.
Bei Beteiligung sog. bevorzugter Bieter an einer Bietergemeinschaft bitte Tz. 4 beachten.
Unterauftragnehmer
Die Einschaltung von Unterauftragnehmern ist grundsätzlich zulässig, soweit sich aus den
Vergabeunterlagen im Übrigen nichts anderes ergibt.
Sofern ein Bieter oder eine Bietergemeinschaft Unterauftragnehmer einschaltet, tritt der Bieter
als Generalunternehmer auf. Er haftet für die ordnungsgemäße Gesamtabwicklung des
Auftrags.
Der Name und die Leistungen der Unterauftragnehmer sind im Angebot zu benennen.
Darüber hinaus hat der Bieter zum Nachweis des Nichtvorliegens von Ausschlussgründen,
sowie der Fachkunde und Leistungsfähigkeit der vorgesehenen Unterauftragnehmer die
entsprechenden Erklärungen vom jeweiligen Unterauftragnehmer unterschreiben und mit
Firmenstempel versehen zu lassen. Das gilt auch, wenn in den betreffenden Erklärungen keine
Unterschriftenzeile vorgesehen ist.
Der Auftragnehmer bemüht sich bei der Einholung von Angeboten der Unterauftragnehmer
regelmäßig kleine und mittlere Unternehmen angemessen zu beteiligen. Er verpflichtet sich,
bei der Weitergabe von Lieferleistungen die VOL/B zum Vertragsbestandteil zu machen.
Der Auftragnehmer verpflichtet sich außerdem den Unterauftragnehmern insbesondere
hinsichtlich Gewährleistung, Vertragsstrafe, Zahlungsweise und Sicherheitsleistungen keine
ungünstigeren Bedingungen aufzuerlegen, als zwischen ihm und dem Auftraggeber vereinbart
sind.
8
Verbundene Unternehmen
Die Angebotsabgabe durch verbundene Unternehmen ist grundsätzlich zulässig, soweit sich
aus den Vergabeunterlagen im Übrigen nichts anderes ergibt.
Sofern ein Bieter oder eine Bietergemeinschaft verbundene Unternehmen einschaltet, tritt der
Bieter als Generalunternehmer auf. Er haftet für die ordnungsgemäße Gesamtabwicklung des
Auftrags.
Der Name und die Leistungen der verbundenen Unternehmen sind im Angebot zu benennen.
Darüber hinaus hat der Bieter zum Nachweis des Nichtvorliegens von Ausschlussgründen
sowie der Fachkunde und Leistungsfähigkeit der vorgesehenen verbundenen Unternehmen
die entsprechenden Erklärungen vom jeweiligen verbundenen Unternehmen unterschreiben
und mit Firmenstempel versehen zu lassen. Das gilt auch, wenn in den betreffenden
Erklärungen keine Unterschriftenzeile vorgesehen ist.
2.5. Wettbewerbsbeschränkende Verhaltensweisen
Wettbewerbsbeschränkende Absprachen gem. 1 des Gesetzes gegen
Wettbewerbsbeschränkungen (GWB) sind unzulässig und führen zum Ausschluss der
Angebote der Beteiligten.
Zur Bekämpfung der Verhinderung, Einschränkung oder Verfälschung des Wettbewerbs hat
der Bieter auf Verlangen des Auftraggebers Auskünfte darüber zu geben, ob und auf welche
Art der Bieter wirtschaftlich und rechtlich mit Unternehmen verbunden ist. Die Verpflichtungen
aus Ziff. 2.4 bleiben davon unberührt.
3. Hinweise zu Prüfung und Wertung von Angeboten
Es gelangen nur diejenigen Angebote in die Prüfung und Wertung, die sämtliche
Anforderungen nach diesen Vergabeunterlagen erfüllen. Die Angebote werden hinsichtlich
formaler Vollständigkeit und Richtigkeit,
des Vorliegens von Ausschlussgründen,
Eignung der Bieter,
Angemessenheit der Preise sowie
Wirtschaftlichkeit
geprüft und bewertet.
9
4. Bevorzugte Bieter
Bieter, die als bevorzugte Bieter berücksichtigt werden wollen (Wertung des angebotenen
Preises mit einem Abschlag von 10 Prozent vgl. Verwaltungsvorschrift zum öffentlichen
Auftragswesen (VVöA) - Bekanntmachung der Bayerischen Staatsregierung vom
14. November 2017, Az. B II 2 G17/17), müssen dies im Angebot erklären und den Nachweis
für das Vorliegen der Voraussetzungen führen. Wird der Nachweis nicht geführt, so wird das
Angebot wie die Angebote nicht bevorzugter Bieter behandelt.
Bietergemeinschaften, denen bevorzugte Bieter als Mitglieder angehören, haben zusätzlich
den Anteil nachzuweisen, den die Leistungen dieser Mitglieder am Gesamtangebot haben.
5. Abschluss des Vergabeverfahrens
Der Auftraggeber weist auf seine Verpflichtung aus 19 Abs. 4 des Mindestlohngesetzes
(MiLoG) hin, wonach bei Aufträgen ab einer Höhe von 30.000 für den Bieter, der den
Zuschlag erhalten soll, vor Zuschlagserteilung eine Auskunft aus dem Gewerbezentralregister
nach 150a der Gewerbeordnung einzuholen ist.
Bei Verhandlungsvergaben behält sich der Auftraggeber gemäß 12 Abs. 4 Satz 2 UVgO vor,
den Zuschlag auch ohne zuvor verhandelt zu haben auf ein Angebot zu erteilen.
Wird auf ein Angebot bis zum Ablauf der Bindefrist kein Zuschlag erteilt, gilt das Angebot als
nicht berücksichtigt.
6. Kommunikation im Vergabeverfahren
Die Kommunikation mit der Vergabestelle, insbesondere die Angebotsaufklärung und
Nachforderungen sowie das Stellen von Bieterfragen und deren Beantwortung erfolgt
ausschließlich im jeweiligen Verfahren über den Angebotsassistenten unter "Nachrichten".
Sie erhalten hierzu unmittelbar eine Benachrichtigung per E-Mail. Bitte prüfen Sie in diesem
Fall Ihren Posteingang unter "Nachrichten" und bestätigen dort die Kenntnisnahme.
Telefonische Auskünfte werden vom Auftraggeber nicht erteilt.
Bitte sorgen Sie dafür, dass Sie während des Vergabeverfahrens unter den von Ihnen
in der eVergabe mitgeteilten E-Mail-Adressen auch tatsächlich erreichbar sind.
Der Auftraggeber wickelt das Verfahren ausschließlich über diese Kontaktdaten ab. Das
gilt auch, wenn über automatisch generierte Antworten (z.B. Abwesenheitsassistenten)
andere Kontaktdaten mitgeteilt werden.
10
Projekt-Nr.:
Aktenzeichen:
Projektname:
Firmenbezeichnung und -anschrift
Eigenerklärung
Es ist keine Person, deren Verhalten dem Unternehmen zuzurechnen ist, wegen einer der
in 123 Abs. 1 GWB genannten Straftaten (z.B. 129 - 129b, 89c, 261, 263, 264,
299 - 299b, 108e, 333 - 335a, 232 - 233a StGB, Art. 2 2 IntBestG) oder vergleichbarer
Vorschriften anderer Staaten verurteilt worden und es ist auch nicht aus denselben
Gründen eine Geldbuße nach 30 OWiG gegen das Unternehmen festgesetzt worden.
Das Unternehmen hat seine Verpflichtungen zur Zahlung von Steuern, Abgaben und
Beiträgen zur Sozialversicherung ordnungsgemäß erfüllt.
Das Unternehmen hat bei der Ausführung öffentlicher Aufträge nicht gegen geltende
umwelt-, sozial- oder arbeitsrechtliche Verpflichtungen verstoßen.
Das Unternehmen ist nicht zahlungsunfähig, es ist über das Vermögen des Unternehmens
kein Insolvenzverfahren oder vergleichbares Verfahren beantragt oder eröffnet oder
mangels Masse abgelehnt worden, und es befindet sich auch nicht in Liquidation oder hat
seine Tätigkeit eingestellt.
Das Unternehmen hat keine schweren Verfehlungen begangen, die seine Integrität als
Auftragnehmer für öffentliche Aufträge in Frage stellen. Dies gilt auch für Personen, deren
Verhalten dem Unternehmen zuzurechnen ist.
2019MRE000003
H 1620.2.1-964
Kartenzahlungsgeräte für die ÄDBV
11
Das Unternehmen hat im Vergabeverfahren keine vorsätzlich unzutreffenden Erklärungen
abgegeben, keine irreführenden Informationen übermittelt und mit anderen Unternehmen
keine Vereinbarungen getroffen, die eine Verhinderung, Einschränkung oder Verfälschung
des Wettbewerbs bezwecken oder bewirken.
Es liegt kein Ausschlussgrund nach 21 AentG, 19 MiloG, 21 SchwarzArbG und
98c AufenthG vor. Insbesondere wurde gegen das Unternehmen keine Geldbuße von
mindestens 2.500 wegen eines Verstoßes nach 23 AEntG oder 21 MiloG verhängt.
Auch wurde gegen das Unternehmen oder einen Vertretungsberechtigten keine
Freiheitsstrafe von mehr als drei Monaten und keine Geldstrafe von mehr als
90 Tagessätzen oder Geldbuße von mindestens 2.500 wegen Verstoßes gegen eine
in 21 SchwarzArbG aufgeführte Vorschrift verhängt.
Tritt bei den vorgenannten Umständen zu einem späteren Zeitpunkt eine Änderung ein, so ist
dies dem Auftraggeber unverzüglich mitzuteilen. Wissentlich falsche Erklärungen können den
Ausschluss von diesem und weiteren Verfahren zur Folge haben. Werden diese Umstände
nach Auftragserteilung bekannt, steht dem Auftraggeber ein außerordentliches
Kündigungsrecht zu. Mögliche Schadensersatzforderungen bleiben davon unberührt.
Sollten für Sie bzw. Ihr Unternehmen fakultative Ausschlussgründe nach 124 GWB
vorliegen, schildern Sie bitte im Arbeitsschritt Eignungskriterien, weshalb diese nicht zu einem
Ausschluss vom Verfahren führen sollen.
Der Auftraggeber entscheidet im Rahmen der Angebotsprüfung über den Ausschluss.
12
Projekt-Nr.:
Aktenzeichen:
Projektname:
Schutzerklärung
1. Erklärung zum Vergabeverfahren
Der Bewerber/Bieter nimmt zur Kenntnis, dass die Nichtabgabe der Erklärung nach Nummer 2
oder die Abgabe einer wissentlich falschen Erklärung den Ausschluss von diesem
Vergabeverfahren zur Folge hat.
2. Erklärung für den Fall der Zuschlagserteilung
Der Bewerber/Bieter versichert,
2.1. dass er gegenwärtig sowie während der gesamten Vertragsdauer die Technologie von
L. Ron Hubbard nicht anwendet, lehrt oder in sonstiger Weise verbreitet, er keine Kurse
oder Seminare nach dieser Technologie besucht und Beschäftigte oder sonst zur
Erfüllung des Vertrags eingesetzte Personen keine Kurse oder Seminare nach dieser
Technologie besuchen lässt;
2.2. dass nach seiner Kenntnis keine der zur Erfüllung des Vertrags eingesetzten Personen
die Technologie von L. Ron Hubbard anwendet, lehrt oder in sonstiger Weise verbreitet
oder Kurse oder Seminare nach dieser Technologie besucht.
2.3. Der Bewerber/Bieter verpflichtet sich, solche zur Erfüllung des Vertrags eingesetzte
Personen von der weiteren Durchführung des Vertrags unverzüglich auszuschließen,
die während der Vertragsdauer die Technologie von L. Ron Hubbard anwenden, lehren,
in sonstiger Weise verbreiten oder Kurse oder Seminare nach dieser Technologie
besuchen.
2.4. Die Abgabe einer wissentlich falschen Erklärung nach Nummer 2.1 oder 2.2 sowie ein
Verstoß gegen die Verpflichtung nach Nummer 2.3 berechtigen den Auftraggeber zur
Kündigung aus wichtigem Grund ohne Einhaltung einer Frist. Weitergehende Rechte
des Auftraggebers bleiben unberührt.
3. Hinweis nach Art. 16 Abs. 3 des Bayerischen Datenschutzgesetzes:
Hinsichtlich des Zwecks der Schutzerklärung wird auf die Bekanntmachung der Bayerischen
Staatsregierung vom 29. Oktober 1996 verwiesen.
2019MRE000003
H 1620.2.1-964
Kartenzahlungsgeräte für die ÄDBV
13
Scientology-Organisation
Verwendung von Schutzerklärungen bei der Vergabe öffentlicher Aufträge
Bekanntmachung der Bayerischen Staatsregierung vom 29. Oktober 1996 Nr. 476-2-151
(AllMBl. S.701, StAnz. Nr. 44):
Die Scientology-Organisation in allen ihren Erscheinungsformen ist eine Vereinigung, die unter
dem Deckmantel einer Religionsgemeinschaft wirtschaftliche Ziele verfolgt und den einzelnen
mittels rücksichtslos eingesetzter psycho- und sozial-technologischer Methoden einer totalen
inneren und äußeren Kontrolle unterwirft, um ihn für ihre Ziele zu instrumentalisieren.
Auf Grund der jetzigen Erkenntnislage ist davon auszugehen, dass ein nach der Technologie von
L. Ron Hubbard geführtes Unternehmen als Bestandteil der Gesamtorganisation Scientology zu
betrachten ist. Ein derartiges Unternehmen übernimmt die Verpflichtung, die Technologie von L.
Ron Hubbard und die Ideologie von Scientology zu verbreiten, ihren Bestand zu sichern und in
der Gesellschaft als allgemeines Gedankengut zu etablieren. Dadurch droht auch öffentlichen
Stellen bei Geschäftskontakten eine Infiltration und Ausforschung durch Scientology.
Um dieser Gefahr wirksam begegnen zu können, wird bestimmt:
1. Von Auftragnehmern ist bei der Vergabe öffentlicher Dienstleistungsaufträge in den
nachfolgenden Fällen bei der Auftragsvergabe eine Schutzerklärung gemäß Anlage zu
verlangen, die bei Annahme des Angebots Vertragsbestandteil wird. Schutzerklärungen sind
zulässig und notwendig, um bei solchen Vertragsverhältnissen die Zuverlässigkeit und
Leistungsfähigkeit des Auftragnehmers abzuklären, die
Möglichkeiten zur Einflussnahme auf die Organisation des Vertragspartners oder seine
Beschäftigten eröffnen
ein besonderes Vertrauensverhältnis voraussetzen oder
die Offenlegung von wesentlichen internen Vorgängen und Daten gegenüber dem
Vertragspartner erfordern.
Schutzerklärungen kommen demnach regelmäßig in folgenden Vertragsverhältnissen in
Betracht:
Unternehmensberatung, Personal- und Managementschulung, Fortbildungs- und
Vortragsveranstaltungen, Softwareberatung, -entwicklung und -pflege, Projektentwicklung
und -steuerung, Forschungs- und Untersuchungsaufträge.
2. Die Nichtabgabe der Erklärung oder die Abgabe einer wissenschaftlich falschen Erklärung
hat den Ausschluss von dem laufenden Vergabeverfahren zur Folge.
3. Erweist sich nach Vertragsschluss, dass eine wissentlich falsche Erklärung abgegeben oder
gegen die mit der Erklärung eingegangenen Verpflichtungen verstoßen wurde, so ist der
Vertrag aus wichtigem Grund ohne Einhaltung einer Frist zu kündigen.
4. Den kommunalen Auftraggebern und den sonstigen der Aufsicht des Freistaates Bayern
unterliegenden juristischen Personen des öffentlichen Rechts wird empfohlen, entsprechend
zu verfahren. Das gleiche gilt für die Empfänger von Zuwendungen des Freistaates Bayern,
wenn die Zuwendungen für Maßnahmen nach Nummer 1 gegeben werden.
5. Diese Bekanntmachung tritt am 1. November 1996 in Kraft.
14
Projekt-Nr.:
Aktenzeichen:
Projektname:
Darstellung der Struktur des Bieters
1. Die Teilnahme am Verfahren erfolgt als:
Einzelbieter
Bietergemeinschaft
Name des Bieters / der Bietergemeinschaft:
unter Einbeziehung von verbundenen Unternehmen (V)
unter Einbeziehung von Unterauftragnehmern (U)
2. Folgende Unternehmen sind Mitglieder der Bietergemeinschaft:
Name und
postalische Anschrift
Vorgesehene Aufgaben im Rahmen des Projekts
bei bevorzugten Bietern ggf. Anteil am Gesamtangebot
Bitte beachten Sie, dass Bietergemeinschaften mit Angebotsabgabe eine von allen
Mitgliedern unterschriebene Erklärung nach Ziff. 2.4.1 der Bewerbungsbedingungen
vorzulegen haben. Laden Sie die Erklärung dazu bitte im Angebotsassistenten im
Arbeitsschritt Eigene Anlagen hoch.
2019MRE000003
H 1620.2.1-964
Kartenzahlungsgeräte für die ÄDBV
15
3. Bevollmächtigter Vertreter:
Angabe des von allen Mitgliedern für die Durchführung des Vergabeverfahrens und Vertrages
gegenüber dem Auftraggeber bevollmächtigten Vertreters
4. Weitere Angaben zu verbundenen Unternehmen oder
Unterauftragnehmern:
Folgende Unternehmen sollen als verbundene Unternehmen (nachfolgend: V) oder
Unterauftragnehmer (nachfolgend: U) eingesetzt werden:
Name und
postalische Anschrift
Status
V / U
Vorgesehene Aufgaben im Rahmen des Projekts
Bitte zusätzlich Ziffer 2.4.2 und 2.4.3 der Bewerbungsbedingungen beachten.
16
Projekt-Nr.:
Aktenzeichen:
Projektname:
Auskunft aus dem Gewerbezentralregister
gem. 150a Abs. 1 Nr. 4 GewO
Öffentliche Auftraggeber sind nach 19 Abs. 4 des Gesetzes zur Regelung eines
allgemeinen Mindestlohns (MiLoG) bei Aufträgen ab einer Höhe von 30.000 verpflichtet, für
die Bewerberin oder den Bewerber, die oder der den Zuschlag erhalten soll, vor der
Zuschlagserteilung eine Auskunft aus dem Gewerbezentralregister nach 150a GewO
anzufordern.
Hierzu werden folgende Angaben benötigt:
1. Name des Unternehmens
2. Unternehmensform
Juristische Person/Personenvereinigung (z.B. OHG, KG, GmbH, GmbH & Co KG)
(bitte weiter bei Punkt 3)
Natürliche Person / GbR
(bitte weiter bei Punkt 4)
3. Juristische Personen/Personenvereinigungen
Sitz der Firma
Anschrift der Firma
Straße und Hausnummer
PLZ und Ort
Handelsregisternummer
Registergericht
2019MRE000003
H 1620.2.1-964
Kartenzahlungsgeräte für die ÄDBV
17
4. Natürliche Person / GbR
Die Angaben werden für jeden Gesellschafter benötigt.
Bei mehr als drei Gesellschaftern machen Sie die erforderlichen Angaben bitte auf einer
gesonderten Anlage und laden diese unter dem Arbeitsschritt Anlagen im
Angebotsassistenten hoch.
1. Gesellschafter
Geburtsname
Familienname
Vorname
Geburtsdatum
Geburtsort
Staatsangehörigkeit
Geburtsname der Mutter
2. Gesellschafter
Geburtsname
Familienname
Vorname
Geburtsdatum
Geburtsort
Staatsangehörigkeit
Geburtsname der Mutter
3. Gesellschafter
Geburtsname
Familienname
Vorname
Geburtsdatum
Geburtsort
Staatsangehörigkeit
Geburtsname der Mutter
18
EVB-IT Systemvertrag Seite 1 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Vertrag über die Erstellung eines Gesamtsystems
Inhaltsangabe
1 Gegenstand, Vergütung und Bestandteile des Vertrages 4
1.1 Vertragsgegenstand 4
1.2 Vergütung 5
1.3 Vertragsbestandteile* 5
1.3.1 dieser Vertragstext bestehend aus den Seiten 1 bis 39 und den folgenden Anlagen: 5
2 Übersicht über die vereinbarten Leistungen 6
2.1 Leistungen bis zur Abnahme 6
2.2 Leistungen nach der Abnahme 6
2.3 Vorgehensmodell 7
3 Systemumgebung* des Gesamtsystems und beizustellende Systemkomponenten* 7
4 Leistungen des Auftragnehmers zur Erstellung des Gesamtsystems 7
4.1 Verkauf von Hardware 7
4.2 Vermietung von Hardware 7
4.3 Überlassung von Standardsoftware* gegen Einmalvergütung auf Dauer (Verkauf) entfällt 9
4.3.1 Leistungsumfang und Vergütung 9
4.3.2 Mitteilung über Anpassungen der Standardsoftware* auf Quellcodeebene 10
4.3.3 Abweichende Lizenzbedingungen 10
4.3.4 Bereitstellung der Standardsoftware* 10
4.4 Überlassung von Standardsoftware* auf Zeit (Vermietung) 11
4.4.1 Leistungsumfang und Vergütung 11
4.4.2 Mitteilung über Anpassungen der Standardsoftware* auf Quellcodeebene 12
4.4.3 Abweichende Lizenzbedingungen 12
4.4.4 Bereitstellung der Standardsoftware* 12
4.5 Erstellung und Überlassung von Individualsoftware* auf Dauer 13
4.6 Übernahme von Altdaten und andere Migrationsleistungen 13
4.7 Erstellung des Gesamtsystems und Herbeiführung der Betriebsbereitschaft* 13
4.7.1 Leistungsumfang 13
4.7.2 Abweichende Nutzungsrechtsvereinbarungen 13
4.7.3 Vergütung 13
4.8 Schulung 13
4.9 Dokumentation 13
4.10 Sonstige Leistungen zur Systemerstellung 14
4.10.1 Leistungsumfang 14
4.10.2 Vergütung 14
5 Systemservice 14
5.1 Arten von Systemserviceleistungen 14
5.1.1 Wiederherstellung der Betriebsbereitschaft* des Gesamtsystems (Störungsbeseitigung) 14
5.1.2 Aufrechterhaltung der Betriebsbereitschaft* (vorbeugende Maßnahmen) 16
5.1.3 Überlassung von verfügbaren Programmständen* (Standardsoftware*) 16
5.2 Beginn / Dauer der Systemserviceleistungen 17
5.3 Kündigung von Systemserviceleistungen 17
5.4 Vergütung/Zahlungsfristen für Systemserviceleistungen 18
5.4.1 Vergütung 18
5.4.2 Zahlungsfristen für Systemserviceleistungen 18
5.5 Sonstige Regelungen zu Systemserviceleistungen 18
5.5.1 Teleservice* 18
5.5.2 Abnahme der Systemserviceleistungen 18
5.5.3 Dokumentation der Systemserviceleistungen 18
6 Weitere Leistungen nach der Abnahme 18
6.1 Weiterentwicklung und Anpassung des Gesamtsystems nach der Abnahme 18
6.2 Sonstige Leistungen nach der Abnahme 19
6.2.1 Leistungsumfang 19
6.2.2 Vergütung 19
19
EVB-IT Systemvertrag Seite 2 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
7 Ergänzende Vereinbarungen bei Vergütung nach Aufwand entfällt 19
7.1 Vereinbarung der Preiskategorien bei Vergütung nach Aufwand 19
7.2 Zeiten der Leistungserbringung bei Vergütung nach Aufwand 19
7.2.1 Während der Geschäftszeiten an Werktagen (außer an Samstagen und Feiertagen am Erfüllungsort) 19
7.2.2 Außerhalb der Geschäftszeiten an Werktagen (außer an Samstagen und Feiertagen am Erfüllungsort) 20
7.2.3 Während sonstiger Zeiten 20
7.3 Abweichende Regelungen für die Bestimmung und Vergütung von Personentagessätzen 20
7.4 Reisekosten, Nebenkosten*, Materialkosten und Reisezeiten 20
7.4.1 Reisekosten, Nebenkosten* und Materialkosten 20
7.4.2 Reisezeiten 21
7.5 Besondere Bestimmungen zur Vergütung nach Aufwand 21
7.6 Preisanpassung für Systemserviceleistungen, die nicht im Pauschalfestpreis* enthalten sind 21
8 Termin- und Leistungsplan 21
9 Zahlungsplan 22
10 Projektmanagement 23
10.1 Ansprechpartner 23
des Auftragnehmers (Schlüsselpositionen): 23
10.2 Weitere Schlüsselpositionen des Auftragnehmers 24
10.3 Projektsteuerung/Projektkoordinierung 24
10.4 Behandlung von Änderungsverlangen (Change Requests) 24
11 Weitere Pflichten des Auftragnehmers 24
11.1 Besondere Anforderungen an Mitarbeiter des Auftragnehmers 24
11.2 Allgemeine Sicherheitsanforderungen 25
11.3 Kopier- oder Nutzungssperre* 25
11.4 Mitteilungspflicht bezüglich der zur Vertragserfüllung eingesetzten Werkzeuge* 25
11.5 Entsorgung der Hardware (ergänzend zu Ziffer 2.1 EVB-IT System-AGB) 25
11.6 Entsorgung der Verpackung 25
12 Mitwirkung des Auftraggebers 25
13 Abnahme 26
13.1 Gegenstand der Abnahme 26
13.2 Testdaten 26
13.3 Dauer, Ort und Systemumgebung* der Funktionsprüfung 26
13.4 Vereinbarungen zur Durchführung der Funktionsprüfung und zur Erklärung der Abnahme 27
13.5 Vereinbarungen zu Mängelklassen im Rahmen der Funktionsprüfung 27
14 Mängelhaftung (Gewährleistung) 27
14.1 Verjährungsfrist (Gewährleistungsfrist) für Mängel des Gesamtsystems 27
14.2 Verjährungsfrist (Gewährleistungsfrist) für Mängel an Teilleistungen 27
14.3 Mängelmeldungen 27
14.3.1 Form der Mängelmeldung 27
14.3.2 Adresse für Mängelmeldungen 28
14.4 Reaktions-* und Wiederherstellungszeiten*, Servicezeiten, Hotline 28
14.4.1 Reaktions-* und Wiederherstellungszeiten*, Mängelklassen 28
14.4.2 Servicezeiten 29
14.4.3 Hotline 29
14.5 Teleservice* 29
14.6 Weitere Vereinbarungen zur Mängelhaftung 29
15 Haftungsregelungen 30
15.1 Haftungsobergrenze bei leicht fahrlässiger Pflichtverletzung 30
15.2 Haftung bei Verzug 30
15.3 Haftung für den Systemservice 30
15.4 Haftung für entgangenen Gewinn 30
16 Vertragsstrafen bei Verzug 30
16.1 Verzug bei Erstellung des Gesamtsystems 30
16.2 Verzug bei Reaktions-* und Wiederherstellungszeiten* 31
17 Weitere Vereinbarungen 31
17.1 Garantien 31
20
EVB-IT Systemvertrag Seite 3 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
17.1.1 Auftragnehmergarantien 31
17.1.2 Herstellergarantien 31
17.2 Übergabe bzw. Hinterlegung des Quellcodes* 31
17.3 Haftpflichtversicherung 31
17.4 Sicherheiten 32
17.4.1 Vorauszahlungsbürgschaft 32
17.4.2 Vertragserfüllungs- oder Mängelhaftungssicherheit 32
17.4.3 Kombinierte Vertragserfüllungs- oder Mängelhaftungssicherheit 32
17.5 Datenschutz, Geheimhaltung und Sicherheit 33
17.6 Vereinbarungen zur Korruptionsprävention 33
17.7 Kündigungsrecht des Auftraggebers 33
17.8 Sonstige Vereinbarungen 33
17.8.1 Vermietung von Hardware 33
17.8.2 Überlassung von Standardsoftware auf Zeit (Vermietung) 34
17.8.3 Einrichtung eines Netzservices und Abwicklung von Zahlungen 34
17.8.4 Reporting 36
17.8.5 Optionale Leistungen 36
17.8.6 Vergütung des Gesamtsystems 36
17.8.7 Preisanpassungsklausel 37
17.8.8 Kündigung des gesamten Systemvertrags 37
17.8.9 Vertragsstrafe bei Schlechtleistung 38
17.8.10 Keine Arbeitnehmerüberlassung 38
17.8.11 Vertraulichkeitserklärung 38
17.8.12 Korruptionsprävention und pauschalisierter Schadensersatz 38
17.8.13 Datenschutzvereinbarung 38
17.8.14 Verpflichtungserklärung 39
17.8.15 Abtretung 39
17.8.16 Gerichtsstand 39
17.8.17 Schriftformklausel 39
17.8.18 Salvatorische Klausel 39
21
EVB-IT Systemvertrag Seite 4 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Vertrag über die Erstellung eines Gesamtsystems
zwischen
Freistaat Bayern
-vertreten durch das Landesamt für Digitalisierung, Breitband und Vermessung-
Alexandrastraße 4
80538 München
im Folgenden Auftraggeber genannt
und
dem Bieter, der im Vergabeverfahren mit der
Projektnummer 2019MRE000003 den Zuschlag erhalten hat
im Folgenden Auftragnehmer genannt
wird folgender Vertrag geschlossen:
1 Gegens tand, Vergütung und Bes tandteile des Vertrages
1.1 Vertrags gegens tand
Gegenstand des EVB-IT Systemvertrages ist die Erstellung des nachfolgend beschriebenen Gesamtsystems,
einschließlich Ausstattung der Dienststellen der Ämter für Digitalisierung, Breitband und Vermessung
(ÄDBV) mit Kartenzahlungsgeräten, der Herbeiführung deren Betriebsbereitschaft* durch den Auftragnehmer
auf der Grundlage eines Werkvertrages und - soweit nachfolgend vereinbart - der Systemservice und die
Weiterentwicklung des Gesamtsystems.
Die Leistungen zur Erstellung des Gesamtsystems bilden eine sachliche, wirtschaftliche und rechtliche Einheit.
Für den Auftraggeber ist von vertragswesentlicher Bedeutung, dass der Auftragnehmer die in diesem
Vertrag vereinbarte Funktionalität des Gesamtsystems herstellt und alle dafür erforderlichen Schritte vornimmt.
Der Auftragnehmer ist verantwortlicher Generalunternehmer für die Erstellung des Gesamtsystems
und haftet für die Leistungen seiner Subunternehmer wie für seine eigenen Leistungen.
Art und Umfang der Leistungen ergeben sich aus diesem Vertrag, insbesondere aus den in Nummer 1.3
genannten Dokumenten.
22
EVB-IT Systemvertrag Seite 5 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
1.2 Vergütung
Der Pauschalfestpreis* beträgt . Die einzelnen Anteile am Pauschalfestpreis* werden nachfolgend
nicht gesondert ausgewiesen.
Ausgenommen vom Pauschalfestpreis* sind einzelne Leistungen, die gesondert vergütet
werden.1
Der Pauschalfestpreis* beträgt . Die einzelnen Anteile am Pauschalfestpreis* werden nachfolgend
gesondert ausgewiesen.
Ausgenommen vom Pauschalfestpreis* sind einzelne Leistungen, die gesondert vergütet
werden.1
Es wird kein Pauschalfestpreis* vereinbart. Die Vergütungen werden nachfolgend gesondert ausgewiesen.
Einzelheiten zur Vergütung ergeben sich aus der Vergütungszusammenstellung in Anlage Nr. 1
(Leistungsbeschreibung), Ziffer 17.8.6 dieses Vertrages sowie aus den Angaben des Auftragnehmers
in der Rubrik Produkte/Leistungen.
Für alle in diesem Vertrag genannten Beträge gilt einheitlich der Euro als Währung.
Die vereinbarte Vergütung versteht sich zuzüglich der gesetzlichen Umsatzsteuer.
1.3 Vertrags bes tandteile*
Es gelten nacheinander als Vertragsbestandteile:
1.3.1 dies er Vertrags text bes tehend aus den Seiten 1 bis 39 und den folgenden Anlagen:
Anlagen zum EVB-IT Systemvertrag
Anlage
Nr.
Bezeichnung Datum/
Version
Anzahl Seiten
1 2 3 4
1 Leistungsbeschreibung (mit Anlage Dienststellen und
Anlage Sicherheitsrichtlinien)
12 (4 und 31)
2 Vereinbarung zur Auftragsverarbeitung 18
3 Angebot des Bieters
Es gelten die Anlagen in folgender Rangfolge: 1, 2, 3;
Eine Einbeziehung von Lizenzbedingungen an Standardsoftware* erfolgt ausschließlich nach Maßgabe der
Nummern 4.3.3 bzw. 4.4.3, d.h. sie gelten ausschließlich hinsichtlich der Nutzungsrechtsregelungen und
insbesondere in der dort vereinbarten Rangfolge der Regelungen, unabhängig davon, ob und in welcher
Rangfolge diese als Anlage in obiger Tabelle aufgelistet werden.
1 Die gesonderte Vergütung ergibt sich z.B. für den Systemservice aus Nummer 5.4.1
23
EVB-IT Systemvertrag Seite 6 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
1.3.2 die Ergänzenden Vertragsbedingungen für die Erstellung eines Gesamtsystems (EVB-IT System-
AGB) in der bei Versand der Vergabeunterlagen geltenden Fassung,
1.3.3 die Allgemeinen Vertragsbedingungen für die Ausführung von Leistungen (VOL/B) in der bei
Versand der Vergabeunterlagen geltenden Fassung.
Die EVB-IT System-AGB stehen unter http://www.cio.bund.de und die VOL/B unter http://www.bmwi.de zur
Einsichtnahme bereit bzw. können auf Verlangen des Auftragnehmers zur Verfügung gestellt werden.
Soweit Allgemeine Geschäftsbedingungen im Sinne von 305 BGB in den hier referenzierten Dokumenten
des Auftragnehmers bzw. den sonstigen vom Auftragnehmer beigefügten Anlagen zu diesem Vertrag Regelungen
in den EVB-IT System-AGB widersprechen, sind sie ausgeschlossen, soweit nicht eine anderweitige
Vereinbarung in den EVB-IT System-AGB zugelassen ist.
Weitere Geschäftsbedingungen sind ausgeschlossen, soweit in diesem Vertrag nichts anderes vereinbart ist.
2 Übersicht über die vereinbarten Leistungen
2.1 Leistungen bis zur Abnahme
Verkauf von Hardware
Vermietung von Hardware
Überlassung von Standardsoftware* gegen Einmalvergütung auf Dauer (Verkauf)
Überlassung von Standardsoftware* auf Zeit (Vermietung)
Erstellung und Überlassung von Individualsoftware* auf Dauer
Übernahme von Altdaten und andere Migrationsleistungen
Erstellung des Gesamtsystems und Herbeiführung der Betriebsbereitschaft* (z.B. durch Aufstellung,
Installation*, Customizing* und Integration* der Systemkomponenten*)
Schulung
Projektmanagement
Sonstige Leistungen:
- Errichtung eines Netzservice zur Abwicklung von Zahlungen mit Debitkarte (girocard, Maestro,
VPay) und Kreditkarte (MasterCard, VISA, American Express, Diners Club), durch kontaktloses Bezahlen
per Karte und per Smartphone
- Pilotbetrieb an einer Dienststelle gemäß Anlage Nr. 1 (Leistungsbeschreibung)
- Optional:
Vermietung von bis zu 10 weiteren Geräten
2.2 Leistungen nach der Abnahme
Systemservice (z.B. Aufrechterhaltung und/oder Wiederherstellung der Betriebsbereitschaft*)
Weiterentwicklung und Anpassung des Gesamtsystems
Sonstige Leistungen
- Einrichtung einer Servicehotline
- Abwicklung von Zahlungen mit Debitkarte (girocard, Maestro, VPay) und Kreditkarte (MasterCard,
VISA, American Express, Diners Club), durch kontaktloses Bezahlen per Karte und per Smartphone
- Reporting
- Optional:
Lieferung von Thermopapier
24
EVB-IT Systemvertrag Seite 7 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
2.3 Vorgehensmodell
Der Auftragnehmer erbringt seine Leistungen auf der Grundlage des folgenden Vorgehensmodells:
V-Modell XT*
V-Modell XT* (Version/Stand) .
Die Teile des Projekthandbuchs (AN), die der Auftraggeber in Umsetzung seiner Vorgaben in
der Ausschreibung mindestens gefordert hat, ergeben sich aus Anlage Nr. .
Die Teile des QS-Handbuchs (AN), die der Auftraggeber in Umsetzung seiner Vorgaben in der
Ausschreibung mindestens gefordert hat, ergeben sich aus Anlage Nr. .
Organisationsspezifisches V-Modell XT* gemäß Anlage Nr. .
Die Teile des Projekthandbuchs (AN), die der Auftraggeber in Umsetzung seiner Vorgaben in
der Ausschreibung mindestens gefordert hat, ergeben sich aus Anlage Nr. .
Die Teile des QS-Handbuchs (AN), die der Auftraggeber in Umsetzung seiner Vorgaben in der
Ausschreibung mindestens gefordert hat, ergeben sich aus Anlage Nr. .
Sonstiges Vorgehensmodell gemäß Anlage Nr. 1 (Leistungsbeschreibung).
3 Sys temumgebung* des Ges amts ys tems und beizus tellende Sys temkomponenten*
Die Systemumgebung* des Gesamtsystems beim Auftraggeber ergibt sich aus Anlage Nr. 1 (Leistungsbeschreibung.
Die beizustellenden Systemkomponenten* ergeben sich aus der nachfolgenden Tabelle:
Lfd. Nr. Bezeichnung der beizustellenden Systemkomponenten* Art der beizustellenden
Systemkomponenten*
(HW, SW,
IS, S)1
1 2 3
1 HW = Hardware, SW = Standardsoftware*, IS = Individualsoftware*, S = Sonstige
Die beizustellenden Systemkomponenten* ergeben sich aus Anlage Nr. .
4 Leistungen des Auftragnehmers zur Erstellung des Gesamtsystems
4.1 Verkauf von Hardware
entfällt
4.2 Vermietung von Hardware
Der Auftragnehmer vermietet an den Auftraggeber die nachstehend aufgeführte Hardware.
25
EVB-IT Systemvertrag Seite 8 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Lfd.
Nr.
Produktbezeichnung
und
-beschreibung,
Produkt-Nr.
Menge Mindestvertragsdauer
in
Monaten
Abw.M
ietbeginn1
Mietdauer
in
Monaten
(feste
Laufzeit)
Abw.
Kündigungsfrist
in
Monaten2
Automatische
Verlängerung
um
Anzahl
Monate3
Monatlicher Mietpreis
Einzelpreis
pro Gerät
Gesamtpreis
für alle Geräte
1 2 3 4 5 6 7 8 9 10
1 Kartenzahlungsgeräte
73 Gemäß
Ziffer
17.8.1 III
01.01.
2020
48 Monate4
2 Monate5
Wird ergänzt Wird ergänzt
2 Optional:
Weitere
Kartenzahlungsgeräte
10 Gemäß
Ziffer
17.8.1 III
Bis zu
48 Monate4
2 Monate5
Wird ergänzt Wird ergänzt
Monatlicher Gesamtmietpreis
1 Wenn abweichend von Ziffer 16.1 EVB-IT System-AGB
2 Wenn abweichend von Ziffer 16.1.1 EVB-IT System-AGB
3 Das Mietverhältnis verlängert sich um die vereinbarten Monate, wenn es nicht mit einer Frist von drei Monaten zum Ende der
Mietdauer gekündigt wird.
4 Hierbei Ausführungen zu Ziffer 17.8.1 III 1. Sonstige Vereinbarungen > Vermietung von Hardware >Vertragslaufzeit / Kündigung
/ Rücknahme der Geräte > Vertragslaufzeit beachten.
5 Hierbei Ausführungen zu Ziffer 17.8.1 III 2 Sonstige Vereinbarungen > Vermietung von Hardware > Vertragslaufzeit / Kündigung
/ Rücknahme der Geräte > Kündigung beachten.
Weitere Vereinbarungen zur Kündigungsfrist abweichend von Ziffer 16.1.1 EVB-IT System-AGB
gemäß Anlage Nr. .
Die Vergütung für die gesamte Hardware gemäß Nummer 4.2 ist nicht im Pauschalfestpreis* enthalten.
Die Vergütung für die Hardware gemäß Nummer 4.2 lfd. Nr. bis ist nicht im Pauschalfestpreis*
enthalten.
26
EVB-IT Systemvertrag Seite 9 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
4.3 Überlas s ung von Standards oftware* gegen Einmalvergütung auf Dauer (Verkauf) entfällt
4.3.1 Leis tungs umfang und Vergütung
Dem Auftraggeber wird vom Auftragnehmer nachstehend aufgeführte Standardsoftware* gegen Einmalvergütung
auf Dauer überlassen:
Lfd.
Nr.
Produktbezeichnung
und -beschreibung,
Produkt-Nr.
Menge EXP1 Anzahl
erlaubter
Sicherungskopien
Zu liefernde
Version2
Abweichende
Nutzungsrechte
gemäß Nutzungsrechtsmatrix
Anlage
Nr. (Muster
4)3
Bei vereinbartem
Pauschalfestpreis*
lediglich im Feld
Summe den Anteil
daran angeben4
Einzelpreis
Gesamtpreis
1 2 3 4 5 6 7 8 9
Summe
1 US = Standardsoftware* unterliegt US-amerikanischen Exportkontrollvorschriften
EU = Standardsoftware* unterliegt EU-Exportkontrollvorschriften
DT = Standardsoftware* unterliegt deutschen Exportkontrollvorschriften
S = Standardsoftware* unterliegt Exportkontrollvorschriften
2 A = Überlassung der bei Abnahme aktuellen Version, anderenfalls Versionsnummer eintragen
3 In der hier bezeichneten Anlage erhält der Auftragnehmer im Rahmen der Vorgaben des Auftraggebers die Möglichkeit, von
Ziffer 2.3 EVB-IT System-AGB abweichende Nutzungsrechte an der Standardsoftware* einzuräumen. Die Nutzungsrechtsregelungen
der Lizenzbedingungen für die jeweilige Standardsoftware* gelten dann nachrangig (siehe Nummer 4.3.3).
4 Soweit in Nummer 1.2 vorgesehen, hat der Auftragnehmer den Anteil der Standardsoftware* an dem Pauschalfestpreis* anzugeben.
Dies allein, um dem Auftraggeber die Bewertung des Pauschalfestpreises* zu ermöglichen.
Die Vergütung für die gesamte Standardsoftware* gemäß Nummer 4.3.1 ist nicht im Pauschalfestpreis*
enthalten.
Die Vergütung für die Standardsoftware* gemäß Nummer 4.3.1 lfd. Nr. bis ist nicht im
Pauschalfestpreis* enthalten.
27
EVB-IT Systemvertrag Seite 10 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
4.3.2 Mitteilung über Anpas s ungen der Standards oftware* auf Quellcodeebene
Die Standardsoftware* aus Nummer 4.3.1 lfd. Nr. wird im Sinne von Ziffer 2.3.1.3 EVB-IT
System-AGB auf Quellcodeebene angepasst.
Der Auftragnehmer erklärt, dass er die Anpassungen nicht in den Standard aufnehmen wird.
Der Auftragnehmer erklärt, dass er
sämtliche Anpassungen in die Standardsoftware*
die Anpassungen gemäß Anlage Nr. in die Standardsoftware*
aufnehmen wird.
Der Auftragnehmer erklärt, dass dies abweichend von Ziffer 2.3.1.3 EVB-IT System-
AGB nicht mit dem auf die Erklärung der Betriebsbereitschaft* folgenden Programmstand*,
sondern
bis zur Abnahme des Gesamtsystems*
bis zu dem in Anlage Nr. genannten Termin
erfolgen wird.
Näheres zu den Anpassungen und deren Übernahme in den Standard ergibt sich aus Anlage
Nr. .
4.3.3 Abweichende Lizenzbedingungen
Sofern abweichende Nutzungsrechte gemäß den Nutzungsrechtsmatrizen vereinbart werden, gelten bezüglich
der Nutzungsrechte an der jeweiligen Standardsoftware* folgende Regelungen in der folgenden
Rangfolge:
Nutzungsrechtsmatrizen gemäß Muster 4 (s.a. Nummer 4.3.1, Spalte 7),
Ziffer 2.3 EVB-IT System-AGB,
die Nutzungsrechtsregelungen aus den jeweiligen Lizenzbedingungen in Anlage Nr. bzw. im
Falle der Überlassung neuer Programmstände* im Rahmen des Systemservices aus den gemäß
Nummer 5.1.3 bekanntgegebenen Nutzungsrechtsregelungen neuer Programmstände. Die jeweiligen
Nutzungsrechtsregelungen gelten aber nur, soweit sie den sonstigen vertraglichen Regelungen
weder entgegenstehen noch diese beschränken.
4.3.4 Bereits tellung der Standards oftware*
Der Auftragnehmer stellt dem Auftraggeber die Standardsoftware* wie folgt zur Verfügung:
gemäß Nummer 4.3.1 lfd. Nr. auf Datenträger: Typ: , Kennzeichnung: ,
gemäß Nummer 4.3.1 lfd. Nr. in folgender Form: ,
gemäß Nummer 4.3.1 lfd. Nr. , wie in Anlage Nr. beschrieben.
28
EVB-IT Systemvertrag Seite 11 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
4.4 Überlas s ung von Standards oftware* auf Zeit (Vermietung)
4.4.1 Leis tungs umfang und Vergütung
Der Auftragnehmer vermietet an den Auftraggeber die nachstehend aufgeführte Standardsoftware*:
Lfd.
Nr.
Produktbezeichnung
und
-beschrei
bung,
Produkt-
Nr.
Menge
E
X
P1
Anzahl
erlaubter
Sicherungskopien
Zu
liefernde
Version2
Abweichende
Nutzungsrechte
(Muster 4)3
Anlage Nr.
Mindestvertragsdauer
in
Monaten
Abw.
Mietbeginn4
Mietdauer
in
Monaten
(feste
Laufzeit)
Abw.
Kündigungsfrist
5
Automatische
Verlängerung
um Anzahl
Monate6
Monatlicher Mietpreis
Einzelpreis
Pro
Gerät
Gesamtpreis
für
alle Geräte
1 2 3 4 5 6 7 8 9 10 11 12 13 14
1 Vgl.
Ziffer
2.1.3 in
der
Anlage
1
73 01.0
1.20
20
48
Monate7
2
Monate7
2 Optional:
Vgl.
Ziffer
2.1.3 in
der
Anlage
1
optional:
Bis
zu
10
48
Monate7
2
Monate7
Monatlicher Gesamtmietpreis
1 US = Standardsoftware* unterliegt US-amerikanischen Exportkontrollvorschriften
EU = Standardsoftware* unterliegt EU-Exportkontrollvorschriften
DT = Standardsoftware* unterliegt deutschen Exportkontrollvorschriften
S = Standardsoftware* unterliegt Exportkontrollvorschriften
2 A = Überlassung der bei Abnahme aktuellen Version, anderenfalls Versionsnummer eintragen
3 In der hier bezeichneten Anlage erhält der Auftragnehmer im Rahmen der Vorgaben des Auftraggebers die Möglichkeit, von
Ziffer 2.3 EVB-IT System-AGB abweichende Nutzungsrechte an der Standardsoftware* einzuräumen. Die Nutzungsrechtsregelungen
der Lizenzbedingungen für die jeweilige Standardsoftware* gelten dann nachrangig (siehe Nummer 4.4.3).
4 Wenn abweichend von Ziffer 16.1 EVB-IT System-AGB.
5 Wenn abweichend von Ziffer 16.1.1 EVB-IT System-AGB.
6 Das Mietverhältnis verlängert sich um die vereinbarten Monate, wenn es nicht mit einer Frist von drei Monaten zum Ende der
Mietdauer gekündigt wird.
7 Hierbei Ausführungen zu Ziffer 17.8.2 Sonstige Vereinbarungen > Überlassung von Standardsoftware auf Zeit (Vermietung)
beachten.
29
EVB-IT Systemvertrag Seite 12 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Die Vergütung für die gesamte Standardsoftware* gemäß Nummer 4.4.1 ist nicht im Pauschalfestpreis*
enthalten.
Die Vergütung für die Standardsoftware* gemäß Nummer 4.4.1 lfd. Nr. bis ist nicht im
Pauschalfestpreis* enthalten.
4.4.2 Mitteilung über Anpas s ungen der Standards oftware* auf Quellcodeebene
Die Standardsoftware* aus Nummer 4.4.1 lfd. Nr. wird im Sinne von Ziffer 2.3.1.3 EVB-IT
System-AGB auf Quellcodeebene angepasst.
Der Auftragnehmer erklärt, dass er die Anpassungen nicht in den Standard aufnehmen wird.
Der Auftragnehmer erklärt, dass er
sämtliche Anpassungen in die Standardsoftware* aufnehmen wird
die Anpassungen gemäß Anlage Nr. in die Standardsoftware* aufnehmen
wird.
Der Auftragnehmer erklärt, dass dies abweichend von Ziffer 2.3.1.3 EVB-IT System-
AGB nicht mit dem auf die Erklärung der Betriebsbereitschaft* folgenden Programmstand*,
sondern
bis zur Abnahme des Gesamtsystems*
bis zu dem in Anlage Nr. genannten Termin
erfolgen wird.
Näheres zu den Anpassungen und deren Übernahme in den Standard ergibt sich aus Anlage
Nr. .
4.4.3 Abweichende Lizenzbedingungen
Sofern abweichende Nutzungsrechte gemäß den Nutzungsrechtsmatrizen vereinbart werden, gelten bezüglich
der Nutzungsrechte an der jeweiligen Standardsoftware* folgende Regelungen in der folgenden Rangfolge:
Nutzungsrechtsmatrizen gemäß Muster 4 (s.a. Nummer 4.4.1 Spalte 7),
Ziffer 2.3 EVB-IT System-AGB,
die Nutzungsrechtsregelungen aus den jeweiligen Lizenzbedingungen in Anlage Nr. bzw. im
Falle der Überlassung neuer Programmstände* im Rahmen des Systemservices aus den gemäß
Nummer 5.1.3 bekanntgegebenen Nutzungsrechtsregelungen neuer Programmstände. Die jeweiligen
Nutzungsrechtsregelungen gelten aber nur, soweit sie den sonstigen vertraglichen Regelungen
weder entgegenstehen noch diese beschränken.
4.4.4 Bereits tellung der Standards oftware*
Der Auftragnehmer stellt dem Auftraggeber die Standardsoftware* wie folgt zur Verfügung:
gemäß Nummer 4.4.1 lfd. Nr. auf Datenträger: Typ: , Kennzeichnung: ,
gemäß Nummer 4.4.1 lfd. Nr. in folgender Form: ,
gemäß Nummer 4.4.1 lfd. Nr. 1 und 2 wie in Anlage Nr. 1 (Leistungsbeschreibung) beschrieben.
30
EVB-IT Systemvertrag Seite 13 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
4.5 Erstellung und Überlassung von Individualsoftware* auf Dauer
entfällt
4.6 Übernahme von Altdaten und andere Migrations leis tungen
entfällt
4.7 Ers tellung des Ges amts ys tems und Herbeiführung der Betriebs bereits chaft*
4.7.1 Leis tungs umfang
Der Auftragnehmer schuldet die Herbeiführung der Betriebsbereitschaft* des Gesamtsystems (Ziffer 2.4
EVB-IT System-AGB).
Der Auftragnehmer schuldet die Herbeiführung der Betriebsbereitschaft* wie in Anlage Nr. 1 (Leistungsbeschreibung)
beschrieben.
4.7.2 Abweichende Nutzungs rechts vereinbarungen
Abweichend von Ziffer 2.4 EVB-IT System-AGB werden gem. Anlage Nr. für die dort genannten
Arbeitsergebnisse die dort aufgeführten Nutzungsrechte vereinbart.
Abweichend von Ziffer 2.4 EVB-IT System-AGB werden dem Auftraggeber auch für die vorbestehenden
Materialien Bearbeitungsrechte eingeräumt.
4.7.3 Verg ü tung
Die Herbeiführung der Betriebsbereitschaft* ist mit dem Pauschalfestpreis* abgegolten.
Der Vergütungsanteil am Pauschalfestpreis* für die Herbeiführung der Betriebsbereitschaft*
beträgt Euro.
Die gesonderte Vergütung für die Herbeiführung der Betriebsbereitschaft* beträgt pauschal
Euro.
Die Vergütung für die Leistungen zur Herbeiführung der Betriebsbereitschaft* erfolgt gesondert nach
Aufwand gemäß Nummer 7
mit einer Obergrenze in Höhe von Euro.
Dabei ist Personal der Kategorie(n) einzusetzen.
4.8 Schulung
entfällt
4.9 Dokumentation
Ergänzend/abweichend von Ziffer 5.3 EVB-IT System-AGB ist die Dokumentation in folgender Sprache
/ in folgender Form zu erstellen: .
Ergänzend/abweichend von Ziffer 5.3 EVB-IT System-AGB sind folgende Teile der Dokumentation:
bis zum zu liefern.
31
EVB-IT Systemvertrag Seite 14 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Abweichend von Ziffern 4.5 und 5.5 EVB-IT System-AGB sind Anpassungen und Änderungen, die
aufgrund von Maßnahmen zum Systemservice oder im Rahmen der Mängelbeseitigung an den Dokumentationen
erforderlich sind, nicht in die Dokumentation einzuarbeiten, sondern als separate
Dokumente zu liefern.
Abweichend von Ziffer 5.4 EVB-IT System-AGB ist der Auftragnehmer nicht über das gesetzliche
Maß hinaus verpflichtet, die im Rahmen der Mängelhaftung gemäß Ziffer 13 EVB-IT System-AGB
durchgeführten Maßnahmen zu dokumentieren.
Abweichend von Ziffer 5.6 EVB-IT System-AGB wird an den für den Auftraggeber erstellten Dokumentationen
statt des nicht ausschließlichen Nutzungsrechts ein ausschließliches Nutzungsrecht
gewährt.
Die Dokumentation ist gemäß dem in Nummer 2.3 vereinbarten Vorgehensmodell zu erstellen.
Die Anwenderdokumentation ist zusätzlich als kontextsensitive Online-Hilfe im Gesamtsystem abzulegen.
Weitere Vereinbarungen zur Dokumentation gemäß Anlage Nr.1. (Leistungsbschreibung).
4.10 Sons tige Leis tungen zur Sys temers tellung
4.10.1Leis tungs umfang
Der Umfang der sonstigen Leistungen zur Systemerstellung ergibt sich aus Anlage Nr. 1 (Leistungsbeschreibung)
sowie aus den Regelungen unter Ziffer 17.8 dieses Vertrages.
4.10.2Vergütung
Sonstige Leistungen sind mit dem Pauschalfestpreis* abgegolten, soweit sich nichts anderes aus
Ziffer 17.8.7 ergibt.
Der Vergütungsanteil am Pauschalfestpreis* für die sonstigen Leistungen beträgt Euro.
Die gesonderte Vergütung für sonstige Leistungen beträgt pauschal Euro.
Die Vergütung erfolgt gesondert nach Aufwand gemäß Nummer 7
mit einer Obergrenze in Höhe von Euro.
Dabei ist Personal der Kategorie(n) einzusetzen.
5 Sys tems ervice
Der Auftragnehmer verpflichtet sich im Rahmen des Systemservices zur Wiederherstellung und/oder zur
Aufrechterhaltung der Betriebsbereitschaft* des Gesamtsystems und/oder zur Lieferung neuer Programmstände*
nach folgenden Regelungen:
5.1 Arten von Sys tems erviceleis tungen
5.1.1 Wiederhers tellung der Betriebs bereits chaft* des Ges amts ys tems (Störungs bes eitigung)
Der Auftragnehmer verpflichtet sich bei Störungen die Betriebsbereitschaft*
des Gesamtsystems gemäß Ziffer 4.1 EVB-IT System-AGB wiederherzustellen.
des Gesamtsystems gemäß Ziffer 4.1 EVB-IT System-AGB mit Ausnahme folgender gelieferter,
erstellter oder beizustellender Systemkomponenten* aus Nummer lfd. Nr. wiederherzustellen.
folgender Systemkomponenten* aus Nummer lfd. Nr. gemäß Ziffer 4.1 EVB-IT System-
AGB wiederherzustellen.
32
EVB-IT Systemvertrag Seite 15 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
des Gesamtsystems gemäß Anlage Nr. 1 (Leistungsbeschreibung) wiederherzustellen.
5.1.1.1 Störungsmeldung
5.1.1.1.1 Form der Störungsmeldung
Die Störungsmeldung erfolgt abweichend von Ziffer 11.3 EVB-IT System-AGB in der Regel telefonisch
gemäß Anlage Nr. 1 (Leistungsbeschreibung).
5.1.1.1.2 Adres s e für Störungsmeldungen
Die Störungsmeldung erfolgt
an folgende Adresse:
Name/Firma:
Organisationseinheit/Abteilung:
Postanschrift:
Telefon:
Fax:
E-Mail:
Web-Adresse:
gemäß Anlage Nr. 1 (Leistungsbeschreibung).
5.1.1.2 Reaktions -* und Wiederhers tellungs zeiten*,Mängelklas s en
Es werden folgende Reaktions-* und Wiederherstellungszeiten* (Ziffer 4.1.2 EVB-IT System-AGB)
vereinbart:
Mängelklasse Reaktionszeit*
in Stunden
Wiederherstellungszeit*
in Stunden
Betriebsverhindernder Mangel 24 Std
Betriebsbehindernder Mangel 24 Std
Leichter Mangel 24 Std
Die Reaktions-* und Wiederherstellungszeiten* werden in Anlage Nr. für die dort abweichend
von Ziffer 3 EVB-IT System-AGB definierten Mängelklassen festgelegt.
Weitere Vereinbarungen (z.B. Reaktionszeiten*, Wiederherstellungszeiten*, Service Level Agreement)
gemäß Anlage Nr. .
Reaktions-* und Wiederherstellungszeiten* beginnen ausschließlich mit dem Zugang der Störungsmeldung
während der vereinbarten Servicezeiten und laufen ausschließlich während der vereinbarten Servicezeiten.
33
EVB-IT Systemvertrag Seite 16 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Ergänzend können in Nummer 16.2 für die Nichteinhaltung der o.g. Zeiten Vertragsstrafen vereinbart werden.
5.1.1.3 Servicezeiten
Es werden folgende Servicezeiten vereinbart:
Tag Uhrzeit
Mo bis Do von 08:00 bis 17:00 Uhr
Fr bis von 08:00 bis 12:00 Uhr
von bis Uhr
An Sonntagen von bis Uhr
An Feiertagen am Erfüllungsort von bis Uhr
5.1.1.4 Hotlin e
Der Auftragnehmer gewährt eine telefonische deutschsprachige Unterstützung (Hotline) zu folgenden
Zeiten:
Tag Uhrzeit
Mo bis Fr von 08:00 bis 17:00 Uhr
bis von bis Uhr
von bis Uhr
An Sonntagen von bis Uhr
An Feiertagen am Erfüllungsort von bis Uhr
Weitere Vereinbarungen zur Hotline (z.B. Kreis der Berechtigten, Leistungsumfang) gemäß Anlage
Nr. 1 (Leistungsbeschreibung).
5.1.2 Aufrechterhaltung der Betriebs bereits chaft* (vorbeugende Maßnahmen)
Der Auftragnehmer verpflichtet sich
angemessene Maßnahmen mit dem Ziel zu ergreifen, das Auftreten zukünftiger Störungen
des Gesamtsystems
des Gesamtsystems mit Ausnahme folgender gelieferter, erstellter oder beizustellenden
Systemkomponenten* aus Nummer lfd. Nr.
folgender Systemkomponenten* aus Nummer lfd. Nr.
zu vermeiden.
zu vorbeugenden Maßnahmen gemäß Anlage Nr. 1 (Leistungsbeschreibung).
5.1.3 Überlas s ung von verfügbaren Programms tänden* (Standards oftware*)
Der Auftragnehmer verpflichtet sich, folgende Programmstände* für die aufgeführte Standardsoft-
34
EVB-IT Systemvertrag Seite 17 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
ware* zu überlassen, sobald sie am Markt verfügbar sind:
Lfd. Nr.
aus
Nummer
4.3.1
Lfd. Nr.
aus
Nummer
4.4.1
Überlassung aller verfügbaren Programmstände*
Zeitpunkt der Leistung
Patches*,
Updates*
Upgrades* Releases/ Versionen*
Auf Anforderung
des Auftraggebers
Unverzüglich,
sobald verfügbar
1 2 3 4 5 6 7
Besondere Vereinbarung zur Herbeiführung der Betriebsbereitschaft* durch den Auftragnehmer
gemäß Anlage Nr. .
Besondere Vereinbarung zu Installation* und Customizing* der Programmstände* gemäß Anlage Nr.
Soweit bezüglich der Nutzungsrechte der Standardsoftware* Nutzungsrechtsregelungen aus den Lizenzbedingungen
in Nummer 4.3.3 bzw. 4.4.3 einbezogen sind, werden diese bei Überlassung neuer Programmstände*
der jeweiligen Standardsoftware* durch die für den neuen Programmstand* geltenden Nutzungsrechtsregelungen
ersetzt, wobei die in Nummer 4.3.3 bzw. 4.4.3 getroffenen Vereinbarungen auch für diese
gelten. Diese neuen Nutzungsrechtsregelungen gelten aber nur, soweit die neuen Lizenzbedingungen dem
Auftraggeber bei Überlassung mit Hinweis auf diese Regelung schriftlich bekannt gegeben werden.
5.2 Beginn / Dauer d er Sys tems erviceleis tungen
Der Auftragnehmer verpflichtet sich, die vereinbarten Systemserviceleistungen beginnend mit
dem Tag nach Ablauf der Verjährungsfrist für Sachmängelansprüche (Gewährleistungsfrist) des
Gesamtsystems
dem Tag nach der Abnahme des Gesamtsystems
folgendem Datum 02.01.2020
jeweils
für die Dauer von Monaten
für die Dauer von mindestens 48 Monaten (Mindestvertragsdauer)
für die in Anlage Nr. vereinbarte Dauer
zu erbringen.
5.3 Kündigung von Sys tems erviceleis tungen
Abweichend von Ziffer 16.1.1 EVB-IT System-AGB beträgt die Kündigungsfrist für bis zu 7 Kartenzahlungsgeräte
2 Monat(e) zum Ablauf eines Kalendermonats. (z.B. Kalendermonat/
Kalendervierteljahr/Kalenderjahr). Die Ausführungen unter Ziffer 17.8.1 III 1. und 2. gelten entsprechend.
Ergänzend zu Ziffer 16.1.1 EVB-IT System-AGB wird bei vereinbarter fester Laufzeit ein Sonderkündigungsrecht
des Auftraggebers gem. Anlage Nr. vereinbart.
35
EVB-IT Systemvertrag Seite 18 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
5.4 Vergütung/Zahlungs fris ten für Sys tems erviceleis tungen
5.4.1 Vergütung
Der Systemservice ist (bei fester Laufzeit) insgesamt mit dem Pauschalfestpreis* abgegolten soweit
sich nichts anderes aus Ziffer 17.8.7 ergibt.
Der Vergütungsanteil für den Systemservice am Pauschalfestpreis* beträgt Euro2.
Die gesonderte Vergütung für den Systemservice insgesamt (bei fester Laufzeit) beträgt pauschal
Euro.
Die gesonderte monatliche Vergütung für den Systemservice beträgt pauschal Euro.
Für den Zeitraum bis zum Ablauf der Verjährungsfrist der Sachmängelansprüche für das
Gesamtsystem wird eine abweichende monatliche Vergütung in Höhe von pauschal
Euro vereinbart.
Die Vergütung für die Systemserviceleistungen gemäß Nummer(n) (hier die relevanten Nummer(
n) aus Nummer 5.1 eintragen) erfolgt gesondert nach Aufwand gemäß Nummer 7
mit einer Obergrenze in Höhe von Euro.
Dabei ist Personal der Kategorie(n) einzusetzen.
Die Vergütung erfolgt gemäß Anlage Nr. .
5.4.2 Zahlungs fris ten für Sys tems erviceleis tungen
monatlich. Auf die Ausführungen unter Sonstige Vereinbarungen > Vergütung des Gesamtsystems
unter Ziffer 17.8.7 dieses Vertrages wird hingewiesen.
quartalsweise (zahlbar bis zum 15. des zweiten Quartalsmonats)
jährlich (zahlbar bis zum )
einmalig zum
gemäß Anlage Nr.
5.5 Sons tige Regelungen zu Sys tems erviceleis tungen
5.5.1 Teles ervice*
Der Auftragnehmer erbringt Teile der Leistung mittels Teleservice* entsprechend der Teleservicevereinbarung
gemäß Anlage Nr. .
5.5.2 Abnahme der Sys tems erviceleis tungen
Abweichend von Ziffer 4.3 EVB-IT System-AGB vereinbaren die Parteien eine Abnahme bestimmter
Systemserviceleistungen gemäß Anlage Nr. .
5.5.3 Dokumentation der Sys tems erviceleis tungen
Abweichend von Ziffer 4.5 Satz 1 EVB-IT System-AGB ist der Auftragnehmer in dem in Anlage Nr.
aufgeführten Umfang verpflichtet, die im Rahmen des Systemservices durchgeführten Maßnahmen
zu dokumentieren.
6 Weitere Leis tungen nach der Abnahme
6.1 Weiterentwicklung und Anpas s ung des Ges amts ys tems nach der Abnahme
Der Auftragnehmer verpflichtet sich, das Gesamtsystem jeweils nach den Vereinbarungen in Anlage
Nr. 1 (Leistungsbeschreibung) weiterzuentwickeln, zu optimieren und an die sich ändernden
Bedürfnisse des Auftraggebers anzupassen. Soweit in der Anlage nichts anderes geregelt ist, erfolgt
2 Der Auftragnehmer hat den Anteil des Systemservices an dem Pauschalfestpreis* anzugeben, selbst wenn in Nummer 1.2 keine
gesonderte Ausweisung von Preisanteilen vorgesehen ist. Dies allein, um die Berechnung der Haftungsobergrenze gemäß Ziffer
15.2
EVB-IT System-AGB und - bei Vereinbarung einer gesonderten Ausweisung - eine Bewertung des Pauschalfestpreises* zu
ermöglichen.
36
EVB-IT Systemvertrag Seite 19 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
die Beauftragung entsprechend den Konditionen dieses Vertrages und der einbezogenen EVB-IT
System-AGB.
6.2 Sons tige Leis tungen nach der Abnahme
6.2.1 Leis tungs umfang
Der Umfang der sonstigen Leistungen nach der Abnahme ergibt sich aus Anlage Nr.1 (Leistungsbeschreibung)
sowie aus den Sonstigen Vereinbarungen unter Ziffer 17.8 dieses Vertrages.
6.2.2 Vergütung
Die sonstigen Leistungen nach der Abnahme sind mit dem Pauschalfestpreis* abgegolten, es sei
denn, es ist etwas anderes unter Sonstige Vereinbarungen > Vergütung des Gesamtsystems Ziffer
17.8.7 dieses Vertrages geregelt.
Der Vergütungsanteil am Pauschalfestpreis* für sonstige Leistungen nach der Abnahme beträgt
Euro.
Die sonstigen Leistungen nach der Abnahme sind mit der pauschalen Vergütung für Systemserviceleistungen
gemäß Nummer 5.4.1 abgegolten.
Die gesonderte Vergütung für sonstige Leistungen nach der Abnahme beträgt pauschal Euro.
Die Vergütung erfolgt gesondert nach Aufwand gemäß Nummer 7
mit einer Obergrenze in Höhe von Euro.
Dabei ist Personal der Kategorie(n) einzusetzen.
7 Ergänzende Vereinbarungen bei Vergütung nach Aufwand entfällt
7.1 Vereinbarung der Preis kategorien bei Vergütung nach Aufwand
Lfd. Nr.
Bezeichnung
der Personalkategorie
Preis innerhalb der
Zeiten gemäß
Nummer 7.2.1
Preis innerhalb der
Zeiten gemäß
Nummer 7.2.2
Preis innerhalb der
Zeiten gemäß
Nummer 7.2.3
je Stunde je Tag je Stunde je Tag je Stunde je Tag
1 2 3 4 5 6 7 8
Kategorie 1
Kategorie 2
Kategorie 3
Kategorie 4
Kategorie 5
7.2 Zeiten der Leis tungs erbringung bei Vergütung nach Aufwand
Die Leistungen des Auftragnehmers werden erbracht:
7.2.1 Während der Ges chäfts zeiten an Werktagen (außer an Sams tagen und Feiertagen am
Erfüllungs ort)
37
EVB-IT Systemvertrag Seite 20 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Wochentag Uhrzeit
bis von bis Uhr
bis von bis Uhr
von bis Uhr
7.2.2 Außerhalb der Ges chäfts zeiten an Werktagen (außer an Sams tagen und Feiertagen am
Erfüllungs ort)
Wochentag Uhrzeit
bis von bis Uhr
bis von bis Uhr
von bis Uhr
7.2.3 Während s ons tiger Zeiten
Wochentag Uhrzeit
Samstag von bis Uhr
Sonntag von bis Uhr
Feiertag am Erfüllungsort von bis Uhr
Weitere Vereinbarungen gemäß Anlage Nr. .
7.3 Abweichende Regelungen für d ie Bes timmung und Vergütung von Pers onentages s ätzen
Abweichend von Ziffer 8.5 Satz 1 EVB-IT System-AGB können bei entsprechendem Nachweis für
einen Personentag bis zu 10 Stunden abgerechnet werden.
Abweichend von Ziffer 8.5 Satz 2 und Satz 3 EVB-IT System-AGB wird Folgendes vereinbart:
Ein voller Tagessatz kann nur in Rechnung gestellt werden, wenn mindestens 10 Zeitstunden geleistet
wurden. Werden weniger als 10 Zeitstunden pro Tag geleistet, sind diese anteilig in Rechnung zu
stellen.
Weitere Vereinbarungen gemäß Anlage Nr. .
7.4 Reis ekos ten, Nebenkos ten*, Materialkos ten und Reis ezeiten
7.4.1 Reis ekos ten, Nebenkos ten* und Materialkos ten
Reisekosten werden nicht gesondert vergütet.
Reisekosten werden vergütet gemäß Anlage Nr. .
Nebenkosten* werden nicht gesondert vergütet.
Nebenkosten* werden vergütet gemäß Anlage Nr. .
Materialkosten werden nicht gesondert vergütet.
38
EVB-IT Systemvertrag Seite 21 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Materialkosten werden vergütet gemäß Anlage Nr. .
7.4.2 Reis ezeiten
Reisezeiten werden nicht gesondert vergütet.
Reisezeiten werden zu 50 % als Arbeitszeiten vergütet.
Reisezeiten werden vergütet gemäß Anlage Nr. .
7.5 Bes ondere Bes timmungen zur Vergütung nach Aufwand
Besondere Bestimmungen zur Vergütung nach Aufwand sind in Anlage Nr. vereinbart.
7.6 Preis anpas s ung für Sys tems erviceleis tungen, d ie nicht im Paus chalfes tpreis * enthalten s ind
Gemäß Ziffer 8.6 EVB-IT System-AGB wird eine Preisanpassung vereinbart für Systemserviceleistungen
gemäß Nummer(n) (hier entsprechende Nummer(n) eintragen: 5.1.1, 5.1.2 oder/und
5.1.3).
Abweichend von Ziffer 8.6 EVB-IT System-AGB wird eine Preisanpassung für Systemserviceleistungen
nach Maßgabe der Anlage Nr. vereinbart.
8 Termin- und Leistungsplan
Der Termin- und Leistungsplan ergibt sich aus folgender Tabelle:
Lfd.
Nr.
Bezeichnung der zu erbringenden
Leistung
Art des
Termins
MS1, BB2,
BBTA3,
TA4, VE5
Leistungszeit
(Datum oder Zeitpunkt
nach Zuschlagserteilung)
Leistungsort
(einschließlich
Anschrift)
Bemerkungen
1 2 3 4 5 6
1 MS = Meilenstein
2 BB = Termin der Betriebsbereitschaftserklärung
3 BBTA = Termin der Betriebsbereitschaftserklärung zur Teilabnahme
4 TA = Teilabnahmetermin
5 VE = Vertragserfüllungstermin*
Gemäß dem in Nummer 2.3 vereinbarten Vorgehensmodell V-Modell XT* bzw. dem vereinbarten organisationsspezifischen
V-Modell XT* ergibt sich der Termin- und Leistungsplan aus dem Lastenheft
gemäß Anlage Nr. und den Teilen des Projekthandbuchs (AN), die der Auftraggeber in Umsetzung
seiner Vorgaben in der Ausschreibung mindestens gefordert hat gemäß Anlage Nr. .
Der Termin- und Leistungsplan ergibt sich aus Anlage Nr. 1 (Leistungsbeschreibung).
39
EVB-IT Systemvertrag Seite 22 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
9 Zahlungsplan
Der Auftraggeber leistet zum (Datum) eine Vorauszahlung in Höhe von Euro Zug um
Zug gegen Übergabe einer Vorauszahlungsbürgschaft in gleicher Höhe gemäß Ziffer 20.1.1 EVB-IT
System-AGB.
Der Zahlungsplan ergibt sich aus folgender Tabelle:
Termin gemäß
Nummer 8, lfd. Nr.
Art der Zahlung
AZ1, TZ2, SZ3
Betrag Bemerkungen
1 2 3 4
1 AZ = Abschlagszahlung*
2 TZ = Teilzahlung. Diese setzt eine erfolgreiche Teilabnahme voraus, gilt anderenfalls als AZ.
3 SZ = Schlusszahlung
Der Zahlungsplan ergibt sich aus Sonstige Vereinbarungen > Vergütung des Gesamtsystems
Ziffer 17.8.7 dieses Vertrages
40
EVB-IT Systemvertrag Seite 23 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
10 Projektmanagement
10.1 Ansprechpartner
des Auftragnehmers (Schlüs s elpos itionen):
Gesamtprojektverantwortlicher
Projektmanager für die Erstellung
des Gesamtsystems
Gesamtprojektverantwortlicher
Projektleiter als Ansprechpartner
Name:
Position:
Organisationseinheit/Abteilung:
Telefon:
Fax:
E-Mail:
Postanschrift:
des Auftraggebers:
Fachlicher Ansprechpartner Rechtlicher Ansprechpartner
Name: Johannes Eisentraut Felix Porth
Position: Leiter Referat 52 Leiter Beschaffungsstelle
Organisationseinheit/Abteilung: LDBV, Abteilung 5 LDBV, Abteilung 1
Telefon: 089 2129 1211 089 2129 1347
Fax: 089 2129 21211 089 2129 21347
E-Mail: johannes.eisentraut@
ldbv.bayern.de
felix.porth@ldbv.bayern.de
Postanschrift: Alexandrastraße 4,
80538 München
Alexandrastraße 4,
80538 München
41
EVB-IT Systemvertrag Seite 24 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
10.2 Weitere Schlüsselpositionen des Auftragnehmers
Die Parteien definieren gemäß Ziffer 7.4 EVB-IT System-AGB folgende weitere Schlüsselpositionen auf Seiten
des Auftragnehmers und deren Besetzung:
Lfd. Nr. Schlüsselposition Name Kontaktdaten
1 2 3 4
10.3 Projektsteuerung/Projektkoordinierung
Die Regeln zur Projektsteuerung und Projektkoordinierung ergeben sich aus
dem vereinbarten Vorgehensmodell gemäß Nummer 2.3.
folgenden Vereinbarungen gemäß Anlage Nr. .
10.4 Behandlung von Änderungsverlangen (Change Requests)
Ergänzend/abweichend zu Ziffer 17 EVB-IT System-AGB sind die Vereinbarungen über die Behandlung von
Änderungsverlangen (Change Requests), die während der Vertragsdauer vom Auftraggeber vorgebracht
werden, festgelegt:
in dem vereinbarten Vorgehensmodell gemäß Nummer 2.3.
in Anlage Nr. .
11 Weitere Pflichten des Auftragnehmers
Der Auftragnehmer hat folgende weitere Pflichten:
11.1 Bes ondere Anforderungen an Mitarbeiter des Auftragnehmers
Mindestanforderungen an das einzusetzende Personal des Auftragnehmers:
Lfd.
Nr.
Position Fachliche Qualifikation Sicherheitsüberprüfung
SÜ 1, 2 oder 31
Sonstige Anforderungen,
z.B. weitere
Sicherheitsanforderungen
1 2 3 4 5
1 Stufen der Sicherheitsüberprüfung gemäß Sicherheitsüberprüfungsgesetz
42
EVB-IT Systemvertrag Seite 25 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Mindestanforderungen an das einzusetzende Personal des Auftragnehmers ergeben sich aus Anlage
Nr. .
11.2 Allgemeine Sicherheits anforderungen
Der Auftragnehmer verpflichtet sich, für die Laufzeit des Vertrages:
bei der Erbringung der vertraglichen Leistungen die Regelungen zur IT-Sicherheit gemäß Anlage
Sicherheitsrichtlinien zu beachten;
sich der Geheimschutzbetreuung gemäß Anlage Nr. zu unterstellen;
die Regelungen des Auftraggebers zur Sicherheit am Einsatzort gemäß Anlage Nr. zu beachten;
folgende weitere Regelungen einzuhalten:
- Vorgaben der Deutschen Kreditwirtschaft
- Vorgaben des Payment Card Industry Security Standards Council
- Datenschutzvereinbarung (Anlage 2).
11.3 Kopier- oder Nutzungssperre*
Die vom Auftragnehmer gelieferten oder erstellten Systemkomponenten* weisen keine Kopier- oder
Nutzungssperren* auf.
Die vom Auftragnehmer gelieferten oder erstellten Systemkomponenten* weisen folgende Kopieroder
Nutzungssperren* auf: . Näheres siehe Anlage Nr. .
11.4 Mitteilungspflicht bezüglich der zur Vertragserfüllung eingesetzten Werkzeuge*
Der Auftragnehmer teilt dem Auftraggeber mit, dass er folgende Werkzeuge* für die Erstellung der
Individualsoftware*, die für die Bearbeitung und Umgestaltung der Individualsoftware* notwendig
sind,
verwenden wird: . Näheres siehe Anlage Nr. .
entwickeln wird: . Näheres siehe Anlage Nr. .
In Ergänzung zu Ziffer 6.4 der EVB-IT System-AGB erstreckt sich die Mitteilungspflicht des Auftragnehmers
auch auf die für die Erstellung des Gesamtsystems insgesamt eingesetzten Werkzeuge*.
11.5 Entsorgung der Hardware (ergänzend zu Ziffer 2.1 EVB-IT System-AGB)
Ergänzend zu Ziffer 2.1 EVB-IT System-AGB und den entsprechenden gesetzlichen Regelungen
gelten die in Anlage Nr. aufgeführten zusätzlichen Vereinbarungen über die Entsorgung von
in Nummer 4.1 genannter Hardware.
Der Auftragnehmer übernimmt die Entsorgung auch von nicht in Nummer 4.1. genannter Hardware
(Altgeräte), insbesondere defekter Geräte aufgrund gesonderter Vereinbarung gemäß Anlage Nr. 1
(Leistungsbeschreibung).
11.6 Entsorgung der Verpackung
Ergänzende Vereinbarung zur Entsorgung der Verpackung durch den Auftragnehmer gemäß Anlage
Nr. .
Die Entsorgung der Verpackung erfolgt durch den Auftraggeber (abweichend von Ziffern 2.1 und 2.2
EVB-IT System-AGB).
12 Mitwirkung des Auftraggebers
Dem Auftraggeber obliegt folgende Mitwirkung (z.B. Infrastruktur, Organisation, Personal, Technik,
Dokumente):
43
EVB-IT Systemvertrag Seite 26 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Lfd. Nr. Art der Mitwirkung Erläuterungen (z.B. fachliche
Qualifikation des Personals,
das Mitwirkungsleistungen
erbringt)
max.
Aufwand
Termin/ Zeitraum Ort
1 2 3 4 5 6
Gemäß dem in Nummer 2.3 vereinbarten Vorgehensmodell V-Modell XT* bzw. dem vereinbarten
organisationsspezifischen V-Modell XT* ergibt sich die Mitwirkung des Auftraggebers aus dem Lastenheft
gemäß Anlage Nr. und dem Teil Mitwirkung und Beistellungen des Auftraggebers
des Projekthandbuchs (AN) gemäß Anlage Nr. .
Die Mitwirkung des Auftraggebers ergibt sich aus Anlage Nr.1 (Leistungsbeschreibung) und sowie
aus den Sonstigen Vereinbarungen unter Ziffer 17.8 dieses Vertrages.
13 Abnahme
13.1 Gegenstand der Abnahme
Der Abnahmegegenstand ist das Gesamtsystem im Sinne dieses Vertrages und, soweit in Nummer 8 vereinbart,
die einer Teilabnahme unterliegenden, in sich abgeschlossenen und funktional nutzbaren Teile des
Gesamtsystems.
Ergänzende Vereinbarungen zum Gegenstand der Abnahme gemäß Anlage Nr. .
Das Gesamtsystem beinhaltet jeweils die aktuellste Version der vereinbarten Software* zum Zeitpunkt
des Beginns der Erklärung der Betriebsbereitschaft*.
13.2 Testdaten
Die Testdaten erstellt der Auftraggeber. Einzelheiten gemäß Anlage Nr. .
Die Testdaten erstellt der Auftragnehmer. Einzelheiten gemäß Anlage Nr. .
13.3 Dauer, Ort und Systemumgebung* der Funktionsprüfung
Dauer der Funktionsprüfungszeit (abweichend von der 30tägigen Frist in Ziffer 12.3 Satz 1 EVB-IT
System-AGB): .
Dauer der Funktionsprüfungszeit für teilabzunehmende Leistungen (abweichend von der 14tägigen
Frist in Ziffer 12.3 Satz 2 EVB-IT System-AGB): .
Ort der Funktionsprüfung (abweichend von Ziffer 12.4 EVB-IT System-AGB): .
Ort der Funktionsprüfung für teilabzunehmende Leistungen (abweichend von Ziffer 12.4 EVB-IT
System-AGB): .
Ort und Dauer der Funktionsprüfung(en) ergeben sich aus Anlage Nr. (abweichend von Ziffern
12.3 und 12.4 EVB-IT System-AGB).
Abweichend von Ziffer 12.6 EVB-IT System-AGB beträgt der Zeitrahmen für erneute Funktionsprüfungen
statt 14 Tagen jeweils .
Die Durchführung der Funktionsprüfung erfolgt abweichend von Ziffer 12.4 EVB-IT System-AGB
nicht in der in Nummer 3 genannten, sondern in folgender Systemumgebung*: .
Pilotbetrieb an einer Dienststelle gemäß Anlage Nr. 1 (Leistungsbeschreibung)
44
EVB-IT Systemvertrag Seite 27 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
13.4 Vereinbarungen zur Durchführung der Funktionsprüfung und zur Erklärung der Abnahme
Gemäß dem in Nummer 2.3 vereinbarten Vorgehensmodell V-Modell XT* ergeben sich die Regelungen
zur Durchführung der Funktionsprüfung und der Abnahme aus dem Lastenheft gemäß Anlage
Nr. und den Teilen des Projektplans (AN), die der Auftraggeber in Umsetzung seiner Vorgaben
in der Ausschreibung mindestens gefordert hat gemäß Anlage Nr. .
Die Regelungen zur Durchführung der Funktionsprüfung und der Abnahme ergeben sich aus Anlage
Nr. (abweichend von Ziffer 12 EVB-IT System-AGB).
13.5 Vereinbarungen zu Mängelklassen im Rahmen der Funktionsprüfung
Abweichend von Ziffer 3 EVB-IT System-AGB werden in Anlage Nr. die dort genannten Mängelklassen
vereinbart.
Abweichend von Ziffer 12 EVB-IT System-AGB werden die Auswirkungen der bei der Funktionsprüfung
gefundenen Mängel in Anlage Nr. vereinbart.
14 Mängelhaftung (Gewährleis tung)
14.1 Verjährungs fris t (Gewährleis tungs fris t) für Mängel des Ges amts ys tems
Es gilt Ziffer 13.3 EVB-IT System-AGB mit der Maßgabe, dass für Sachmängel und Rechtsmängel,
die nicht Rechtsmängel der Individualsoftware* sind, die Verjährungsfrist statt 24 Monate Monate
beträgt.
Es gilt Ziffer 13.3 EVB-IT System-AGB mit der Maßgabe, dass für Rechtsmängel der Individualsoftware*
die Verjährungsfrist statt 36 Monate Monate beträgt.
Anstelle der in Ziffer 13.3 EVB-IT System-AGB geregelten zwölfmonatigen Frist für den Rücktritt
bezogen auf die Standardsoftware* tritt eine monatige Frist.
Es gilt Ziffer 13.3 EVB-IT System-AGB mit der Maßgabe, dass die für Rechtsmängel an Individualsoftware*
vereinbarte Verjährungsfrist für Rechtsmängel an folgenden vereinbarten Systemkomponenten*
gilt.
Die Verjährungsfristen für Sach- und Rechtsmängel ergeben sich aus Anlage Nr. .
14.2 Verjährungs fris t (Gewährleis tungs fris t) für Mängel an Teilleis tungen
Abweichend von Ziffer 13.4 EVB-IT System-AGB endet die Verjährungsfrist für Mängel an Teilleistungen
nicht zwei Jahre nach der Teilabnahme und frühestens neun Monate nach der Gesamtabnahme,
sondern gemäß Anlage Nr. .
14.3 Mängelmeldungen
14.3.1Form der Mängelmeldung
Abweichend von Ziffer 11.3 EVB-IT System-AGB erfolgt die Mängelmeldung telefonisch gemäß Anlage Nr. 1
(Leistungsbeschreibung).
45
EVB-IT Systemvertrag Seite 28 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
14.3.2Adres s e für Mängelmeldungen
Die Mängelmeldung erfolgt:
an folgende Adresse:
Name/Firma:
Organisationseinheit/Abteilung:
Postanschrift:
Telefon:
Fax:
E-Mail:
Web-Adresse:
gemäß Anlage Nr. .
14.4 Reaktions -* und Wiederhers tellungs zeiten*, Servicezeiten, Hotline
14.4.1Reaktions -* und Wiederhers tellungs zeiten*, Mängelklas s en
Für die Zeit bis zur Verjährung der Mängelansprüche (Gewährleistungsfrist) werden folgende Reaktions-*
und Wiederherstellungszeiten* vereinbart:
Mängelklasse Reaktionszeit*
in Stunden
Wiederherstellungszeit*
in Stunden
Betriebsverhindernder Mangel 24 Std
Betriebsbehindernder Mangel 24 Std
Leichter Mangel 24 Std
Reaktions-* und Wiederherstellungszeiten* beginnen ausschließlich mit dem Zugang der Mängelmeldung
während der Servicezeiten und laufen ausschließlich während der vereinbarten Servicezeiten.
Ergänzend können in Nummer 16.2 für die Nichteinhaltung der o.g. Zeiten Vertragsstrafen vereinbart
werden.
Die Reaktions-* und Wiederherstellungszeiten* werden in Anlage Nr. für die dort abweichend
von Ziffer 3 EVB-IT System-AGB definierten Mängelklassen festgelegt.
46
EVB-IT Systemvertrag Seite 29 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
14.4.2Servicezeiten
Es werden folgende Servicezeiten vereinbart:
Tag Uhrzeit
Mo bis Do von 8:00 bis 17:00 Uhr
Fr bis von 8:00 bis 12:00 Uhr
von bis Uhr
An Sonntagen von bis Uhr
An Feiertagen am Erfüllungsort von bis Uhr
14.4.3Hotlin e
Der Auftragnehmer gewährt eine telefonische deutschsprachige Unterstützung (Hotline) zu folgenden
Zeiten:
Tag Uhrzeit
Mo bis Fr von 8:00 bis 17:00 Uhr
bis von bis Uhr
von bis Uhr
An Sonntagen von bis Uhr
An Feiertagen am Erfüllungsort von bis Uhr
Weitere Vereinbarungen zur Hotline (Leistungsumfang) gemäß Anlage Nr. .
14.5 Teles ervice*
Der Auftragnehmer erbringt Teile der Leistung mittels Teleservice* entsprechend der Teleservicevereinbarung
gemäß Anlage Nr. .
14.6 Weitere Vereinbarungen zur Mängelhaftung
Der Ausschluss der Rechtsmängelhaftung wegen Patentverletzungen, die Dritte gegen den Auftraggeber
wegen einer Nutzung außerhalb von EU und EFTA geltend machen (Ziffer 13.6 EVB-IT System-
AGB), gilt nicht.
Weitere Vereinbarungen gemäß Anlage Nr. .
47
EVB-IT Systemvertrag Seite 30 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
15 Haftungs regelungen
15.1 Haftungs obergrenze b ei leicht fahrläs s iger Pflichtverletzung
Abweichend von Ziffer 15.1 EVB-IT System-AGB beträgt die Haftungsobergrenze für leicht fahrlässige
Pflichtverletzungen insgesamt für diesen Vertrag Euro.
Abweichend von Ziffer 15.1 EVB-IT System-AGB gelten für die Haftung bei leicht fahrlässigen
Pflichtverletzungen die Regelungen gemäß Anlage Nr. .
15.2 Haftung bei Verzug
Abweichend von Ziffer 15.1 EVB-IT System-AGB beträgt die Haftungsobergrenze für Verzug bei
leichter Fahrlässigkeit insgesamt für diesen Vertrag 50 % des Auftragswertes*.
Abweichend von Ziffer 15.1 EVB-IT System-AGB gelten für die Haftung für Verzug bei leichter Fahrlässigkeit
die Regelungen gemäß Anlage Nr. .
15.3 Haftung für den Sys tems ervice
Abweichend von Ziffer 15.2 EVB-IT System-AGB beträgt die Haftungsobergrenze für leicht fahrlässige
Pflichtverletzungen beim Systemservice insgesamt Euro pro Vertragsjahr.
Abweichend von Ziffer 15.2 EVB-IT System-AGB beträgt die Haftungsobergrenze für leicht fahrlässige
Pflichtverletzungen beim Systemservice insgesamt für diesen Vertrag Euro.
Abweichend von Ziffer 15.2 EVB-IT System-AGB beträgt die Haftungsobergrenze für leicht fahrlässige
Pflichtverletzungen beim Systemservice
minimal das fache (statt des Doppelten)
maximal das fache (statt des Vierfachen)
der Vergütung, die für das erste Vertragsjahr des Systemservices zu zahlen ist. Ziffer 15.2 letzter
Satz EVB-IT System-AGB bleibt unberührt.
15.4 Haftung für entgangenen Gewinn
Abweichend von Ziffer 15.5 EVB-IT System-AGB haftet der Auftragnehmer auch für entgangenen
Gewinn.
16 Vertrags s trafen bei Verzug
16.1 Verzug bei Ers tellung des Gesamts ys tems
Abweichend von Ziffer 9.3 EVB-IT System-AGB gilt die dort aufgeführte Vertragsstrafe auch bei
Überschreitung der für die einzelnen Meilensteine im Termin- und Leistungsplan gemäß Nummer 8
festgelegten Termine.
Die Summe der vorstehenden Vertragsstrafen ist auf den in Ziffer 9.3 EVB-IT System-AGB festgelegten
Höchstbetrag anzurechnen.
Abweichend von Ziffer 9.3 EVB-IT System-AGB gilt die dort aufgeführte Vertragsstrafe nicht bei
Überschreitung der für die Teilabnahmen gemäß Nummer 8 festgelegten Termine.
Abweichend von Ziffer 9.3 EVB-IT System-AGB wird bei Verzug der Leistung die Vertragsstrafenregelung
gemäß Anlage Nr. vereinbart.
48
EVB-IT Systemvertrag Seite 31 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
16.2 Verzug bei Reaktions -* und Wiederhers tellungs zeiten*
Zusätzlich zur Vertragsstrafe gemäß Ziffer 9.3 EVB-IT System-AGB werden in Anlage Nr.
Vertragsstrafen für die Nichteinhaltung der in Nummer 5.1.1.2 geregelten Reaktions-* und Wiederherstellungszeiten*
zur Wiederherstellung der Betriebsbereitschaft* nach der Abnahme des Gesamtsystems
vereinbart.
Zusätzlich zur Vertragsstrafe gemäß Ziffer 9.3 EVB-IT System-AGB werden in Anlage Nr.
Vertragsstrafen für die Nichteinhaltung der in Nummer 14.4.1 geregelten Reaktions-* und Wiederherstellungszeiten*
im Rahmen der Mängelhaftung (Gewährleistung) vereinbart.
17 Weitere Vereinbarungen
17.1 Garantien
17.1.1Auftragnehmergarantien
Der Auftragnehmer übernimmt zusätzlich zu der in diesem Vertrag (Nummer 14 und Ziffer 13 EVB-IT
System-AGB) vereinbarten Mängelhaftung eine Haltbarkeitsgarantie, deren Konkretisierung
und/oder Begrenzung, z.B. des Inhalts oder der Rechtsfolgen in der Anlage Nr. erfolgt.
Der Auftragnehmer übernimmt zusätzlich zu der in diesem Vertrag vereinbarten Mängelhaftung
(Nummer 14 und Ziffern 13, 14 EVB-IT System-AGB) eine Beschaffenheitsgarantie, deren Konkretisierung
und/oder Begrenzung, z.B. des Inhalts oder der Rechtsfolgen in Anlage Nr. erfolgt.
17.1.2Hers tellergarantien
Der Auftragnehmer erklärt, dass die Hersteller der folgenden Systemkomponenten* folgende Haltbarkeitsgarantien
übernehmen:
Lfd. Nr. der betroffenen
Systemkomponente*
gemäß Nummer 4
Garantiebeginn Dauer der Garantie
in Monaten
Name des Herstellers
Umfang der
Leistung im
Garantiefall
(z.B. VOS/BIS1)
1 2 3 4 5
1 VOS = Vorortservice (am Erfüllungsort)
BIS = Bring-In-Service (zum Auftragnehmer auf dessen Kosten)
Weitere Vereinbarungen (Konkretisierung und/oder Begrenzung z.B. des Inhalts oder der Rechtsfolgen)
zur Haltbarkeitsgarantie und/oder Beschaffenheitsgarantie des Herstellers gemäß Anlage Nr.
17.2 Übergabe bzw. Hinterlegung des Quellcodes *
entfällt
17.3 Haftpflichtvers icherung
Der Nachweis einer Haftpflichtversicherung gemäß Ziffer 19.1 EVB-IT System-AGB wird vereinbart.
49
EVB-IT Systemvertrag Seite 32 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
17.4 Sicherheiten
17.4.1 Vorauszahlungsbürgschaft
Die Übergabe einer Vorauszahlungsbürgschaft gemäß Ziffer 20.1.1 EVB-IT System-AGB wird vereinbart.
Abweichend von Ziffer 20.1.1 EVB-IT System-AGB beträgt die Höhe der Vorauszahlungsbürgschaft
statt 100% der Vorauszahlung Euro (Hinweis: wenn niedriger als 100% der Vorauszahlung,
haushaltsrechtlich i.d.R. nicht zulässig).
17.4.2 Vertragserfüllungs- oder Mängelhaftungssicherheit
Es werden für die Vertragserfüllung folgende Vertragserfüllungs- oder Mängelhaftungssicherheiten vereinbart:
Vertragserfüllung
Es wird die Leistung einer Sicherheit für die Vertragserfüllung durch Hinterlegung von Geld auf einem
Sperrkonto oder Übergabe einer Vertragserfüllungsbürgschaft gemäß Ziffer 20.1.2 EVB-IT System-
AGB vereinbart.
Höhe der Sicherheit:
Abweichend von Ziffer 20.1.2 EVB-IT System-AGB beträgt die Höhe der Sicherheit % des
Erstellungspreises*.
Abweichend von Ziffer 20.1.2 EVB-IT System-AGB wird die teilweise Rückgabe der Sicherheit
nach Teilabnahmen gemäß Anlage Nr. geregelt.
Der Auftraggeber kann eine Anpassung der Sicherheit gemäß Ziffer 20.1.2 EVB-IT System-AGB verlangen.
Mängelhaftung (Gewährleistung)
Es wird die Leistung einer Sicherheit für die Mängelhaftung durch Hinterlegung von Geld auf einem
Sperrkonto oder Übergabe einer Mängelhaftungsbürgschaft gemäß Ziffer 20.1.3 EVB-IT System-
AGB vereinbart.
Höhe der Sicherheit:
Abweichend von Ziffer 20.1.3 EVB-IT System-AGB beträgt die Höhe der Sicherheit % des
Auftragswertes*.
ODER
17.4.3 Kombinierte Vertragserfüllungs- oder Mängelhaftungssicherheit
Es wird die Leistung einer Sicherheit für die Vertragserfüllung und Mängelhaftung durch Hinterlegung von
Geld auf einem Sperrkonto oder Übergabe einer Vertragserfüllungs- und Mängelhaftungsbürgschaft gemäß
Ziffer 20.1.4 EVB-IT System-AGB vereinbart.
kombinierte Vertragserfüllungs- und Mängelhaftungssicherheit
Höhe der Sicherheit:
Abweichend von Ziffer 20.1.4 EVB-IT System-AGB beträgt die Höhe der Sicherheit für die Vertragserfüllung
% des Erstellungspreises* und für die Mängelhaftung % des Erstellungspreises*.
Der Auftraggeber kann eine Anpassung der Sicherheit gemäß Ziffer 20.1.4 EVB-IT System-AGB
verlangen.
50
EVB-IT Systemvertrag Seite 33 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
17.5 Datens chutz, Geheimhaltung und Sicherheit
Ergänzend zu bzw. abweichend von Ziffer 21 EVB-IT System-AGB ergeben sich Regelungen zur
Geheimhaltung bzw. zur Sicherheit aus Anlage Nr. 2 (Vereinbarung zur Auftragsverarbeitung) sowie
aus den Sonstigen Vereinbarungen > Datenschutzvereinbarung unter Ziffer 17.8.13 dieses Vertrages.
Zur Zahlungsabwicklung werden im Rahmen der Auftragsverarbeitung Karten- und Kontodaten (je
nach Zahlungsart: u.a. Karteninhaber, IBAN bzw. Kartennummer, Prüfnummer, Kartengültigkeit, Kartentyp)
und Zahlungsdaten (u.a. Betrag, Datum, Uhrzeit, Kennung, Verwendungszweck) gespeichert.
Da durch den Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers verarbeitet
werden sollen (Auftragsdatenverarbeitung), treffen die Parteien in Anlage Nr. eine schriftliche
Vereinbarung, die zumindest die gesetzlichen Mindestanforderungen beinhaltet (z.B. gemäß 11
Absatz 2 BDSG).
Die Parteien treffen sonstige Vereinbarungen zum Datenschutz gemäß Anlage Nr. .
17.6 Vereinbarungen zur Korruptions prävention
Der Auftragnehmer verpflichtet sich für die Laufzeit des Vertrages
die in Anlage Nr. aufgeführten Vorschriften zur Korruptionsprävention in der öffentlichen Verwaltung
zu beachten.
folgende weitere Regelungen einzuhalten: Sonstige Vereinbarungen > Korruptionsprävention und
pauschalisierter Schadensersatz unter Ziffer 17.8.14 dieses Vertrages.
17.7 Kündigungsrecht des Auftraggebers
Abweichend von den gesetzlichen Regelungen und Ziffer 16.2 EVB-IT System-AGB ergeben sich
die Ansprüche des Auftragnehmers bei einer Kündigung des Auftraggebers gemäß 649 BGB aus
Anlage Nr. .
17.8 Sons tige Vereinbarungen
Sonstige Vereinbarungen:
17.8.1Vermietung von Hardware
Ergänzend zu Ziffer 4.2 gilt:
I. Lieferung / Lieferfrist / Mitteilung der Seriennummer / Vertragsstrafe bei verspäteter
Übermittlung
1. Alle Kartenzahlungsgeräte (Geräte) eines Abrufs werden als baugleiche und identische
Geräte geliefert. Sie sind fabrikneu und entsprechen den Vorgaben der Anlagen 1 (Leistungsbeschreibung).
2. Die Auslieferung der 73 konfigurierten, betriebsbereiten Geräte erfolgt zeitnah nach erfolgreichem
Pilotbetrieb und Abnahme durch den Auftraggeber an die jeweilige Dienststelle
(73 Dienststellen der ÄDBV in Bayern, Adressen siehe Anlage Dienststellen), um
den Einsatz der Kartenzahlungsgeräte und den Abrechnungsstart zum 02.01.2020 sicherzustellen.
Werden die Geräte versandt, so erfolgt dies Gefahr des Auftragnehmers.
Die Versandkosten sind im monatlichen Mietpreis enthalten. Das Auspacken der Geräte
und die Entsorgung der Verpackung werden nicht geschuldet.
3. Nimmt der Auftraggeber von der Option Gebrauch und verlangt Lieferung weiterer Geräte,
so sind diese zusätzlichen Geräte konfiguriert und betriebsbereit innerhalb von 14
Tagen nach Eingang der Bestellung zur Verfügung zu stellen. Der Lieferort wird dem
Auftragnehmer bei der Bestellung mitgeteilt. Werden die Geräte versandt, so erfolgt dies
Gefahr des Auftragnehmers. Die Versandkosten sind im monatlichen Mietpreis enthalten.
Das Auspacken der Geräte und die Entsorgung der Verpackung werden nicht geschuldet.
4. Der Auftragnehmer teilt dem Auftraggeber spätestens einen Tag vor Lieferung der Gerä-
51
EVB-IT Systemvertrag Seite 34 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
te die Seriennummern und MAC-Adressen der Geräte in elektronischer Form (z.B. einer
Excel-Tabelle) mit.
5. Im Falle der nicht fristgerechten Übermittlung der MAC-Adressen und/oder der Seriennummern
kann der Auftraggeber vom Auftragnehmer eine Vertragsstrafe i.H.v. 0,2 v. H.
des Brutto-Auftragswerts aus diesem Vertrag verlangen. Insgesamt darf die Vertragsstrafe
jedoch nicht mehr als 5 v.H. des Brutto-Auftragswerts dieses Vertrags betragen.
II. Modelländerungen
1. Während der Vertragslaufzeit hat der Auftraggeber sowohl bei Ausübung der Option als
auch bei Gerätetausch einen Anspruch auf Lieferung von Geräten entsprechend der Beschreibung
in Anlage 1 (Leistungsbeschreibung). Abweichungen hiervon sind nur nach
Maßgabe der nachfolgenden Regelungen zulässig.
2. Der Auftragnehmer darf einen Modellwechsel durchführen, wenn die Lieferung des vereinbarten
Geräts innerhalb der Vertragslaufzeit objektiv unmöglich wird (z. B. wenn das
vereinbarte Modell objektiv nicht mehr lieferbar ist).
3. Das im Rahmen des Modellwechsels angebotene Nachfolgemodell muss in allen Punkten
mindestens den tatsächlichen Leistungswerten des ursprünglich angebotenen Modells
entsprechen.
4. Ein Wechsel des Gerättyps ist nur im gegenseitigen Einvernehmen möglich.
III. Vertragslaufzeit / Kündigung / Rücknahme der Geräte
1. Vertragslaufzeit
Ergänzend zu Ziffer 4.2 Lfd. Nr. 1 und Nr. 2 Mietdauer in Monaten (feste Laufzeit) gilt:
a) Die Vertragslaufzeit beträgt für die 73 Geräte 48 Monate ab Vertragsbeginn (01.01.2020)
und kann zweimal jeweils um ein Jahr verlängert werden.
b) Nimmt der Auftraggeber von der Optionsmöglichkeit Gebrauch und verlangt Auslieferung
weiterer Geräte, so endet die Vertragslaufzeit auch für diese Geräte zeitgleich mit der
Beendigung des Vertragsverhältnisses für die 73 Geräte.
c) Eine darüberhinausgehende stillschweigende Verlängerung des Vertrages ist ausgeschlossen.
2. Kündigung
a) Ergänzend zu Ziffer 4.2. Lfd. Nr. 1 und 2 Abw. Kündigungsfrist in Monaten gilt:
Der Auftraggeber hat die Möglichkeit einzelne Geräte vor Ablauf der Vertragslaufzeit ohne
Angabe von Gründen mit einer Kündigungsfrist von zwei Monaten zurückzugeben. Diese
Möglichkeit ist auf maximal 10% des Gerätebestandes bei Vertragsbeginn, mithin auf insgesamt
bis zu 7 Geräte, begrenzt. Eine optionale Erhöhung der Gerätemenge nach Vertragsbeginn
hat auf die Berechnung der 10% keine Auswirkung.
b) Das Recht der Parteien zur außerordentlichen Kündigung bleibt hiervon unberührt.
3. Rücknahme der Geräte
Der Auftragnehmer ist verpflichtet, alle Geräte am Ende der Vertragslaufzeit bzw. bei Ausübung
des Kündigungsrechts nach Abs. 2 a) an den Einsatzorten des Auftraggebers abzuholen.
Verlangt der Auftragnehmer, dass die Geräte an ihn verschickt werden sollen, so trägt
er das Risiko des zufälligen Untergangs oder deren Beschädigung sowie die Versandkosten.
17.8.2Überlas s ung von Standards oftware auf Zeit (Vermietung)
Ergänzend zu 4.4.1 Lfd. Nr. 1 und 2 gilt:
Die Ausführungen unter Ziffer 17.8.1 III 1 und 2 gelten entsprechend. Die Überlassung von Standardsoftware
auf Zeit ist nur solange notwendig wie die Anmietung von Hardware erfolgt.
17.8.3Einrichtung eines Netzs ervices und Abwicklung von Zahlungen
Die folgenden Bedingungen regeln den Service des Auftragnehmers bei der Erbringung von Netzbetriebsleistungen
im Kartenzahlungssystem (Zahlungsverkehrsabwicklung).
52
EVB-IT Systemvertrag Seite 35 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
I. Leistungsgegenstand ist die Abwicklung bargeldloser Zahlungen im Netzbetrieb, sowie damit
im Zusammenhang stehende sonstige Leistungen (wie z.B. Full-Service) entsprechend Anlage
1 (Leistungsbeschreibung).
II. Verbrauchs- und umsatzabhängige Kosten werden wie folgt vergütet:
1. Kosten pro Transaktion
2. Bankautorisierung (Disagio) für
- girocard
- Maestro
- VPay
- Mastercard
- VISA
III. Ausfallzeiten:
1. Zu Zwecken der Wartung und Pflege ist der Auftragnehmer berechtigt, den Netzbetrieb
für die Dauer der Wartung / Pflege zu unterbrechen. Der Auftragnehmer hat dies dem
Auftraggeber rechtzeitig vorher schriftlich mitzuteilen.
2. Für Ausfälle der Autorisierungszentrale trägt der Auftragnehmer keine Verantwortung.
IV. Kündigung
1. Die Ausführungen aus Ziffer 17.8.1 III 1. und 2. gelten sinngemäß. Gibt der Auftraggeber
Geräte zurück oder kündigt er deren Überlassung, so endet auch dieser Vertragsteil.
2. Sollten über einen längeren Zeitraum (mind. 1 Monat) regelmäßig unvorhergesehene
Ausfallzeiten entsprechend Abs. 3 von erheblichen Umfang (mind. eine Stunde pro Tag)
auftreten, ist der Auftraggeber berechtigt, den Vertrag im Ganzen außerordentlich fristlos
zu kündigen.
V. Schadenersatz
Des Weiteren ist der Auftragnehmer insbesondere schadenersatzpflichtig für:
Zinsschäden aufgrund verspäteter Gutschrift der eingezogenen Geldbeträge auf
dem Bankkonto des Auftraggebers; dies gilt nicht im Falle leichter Fahrlässigkeit
Datenverlust; dies gilt nicht, wenn der Auftragnehmer dies nicht oder nur leicht
fahrlässig zu vertreten hat
nicht erfolgte oder fehlerhafte Ausführung eines Zahlungsvorgangs, es sei denn,
der Auftragnehmer hat dies nicht zu vertreten.
VI. Vertragsstrafe
Kann eine Störung nicht innerhalb von 24 Arbeitsstunden beseitigt werden, kann der Auftraggeber
ab dem auf Ablauf dieser Frist folgenden Arbeitstag Vertragsstrafe gemäß 17.8.10
verlangen.
VII. Konfiguration der Geräte
Die Geräte sind vom Auftragnehmer so einzurichten, dass ohne Änderung der Konfiguration
nur Zahlungen mit Debit- oder Kreditkarte (und zwar girocard, Maestro, VPay, MasterCard,
VISA) mit Zahlungsgarantie entsprechend Anlage 1 (Leistungsbeschreibung) ausgelöst werden
können. Sollten aufgrund abweichender Einstellungen vom Auftraggeber versehentlich
andere Zahlungsarten genutzt / akzeptiert werden, übernimmt der Auftragnehmer hierfür die
volle Verantwortlichkeit und leistet bei Zahlungsausfall Schadensersatz.
VIII. Mitwirkungspflichten des Auftraggebers:
1. Der Auftraggeber ist verpflichtet, dem Auftragnehmer alle Informationen zur Verfügung
zu stellen, die zur Erbringung der Leistung erforderlich sind.
2. Der Auftraggeber prüft die über die Geräte abgewickelten Umsätze, die gutgeschriebenen
Beträge, sowie die hierfür angefallenen Entgelte umgehend auf Richtigkeit. Einwendungen
hiergegen können gegenüber dem Auftragnehmer nur innerhalb von 3 Monaten
ab dem Zeitpunkt geltend gemacht werden, zu dem der Auftraggeber hiervon erstmals
Kenntnis erlangen konnte.
53
EVB-IT Systemvertrag Seite 36 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
3. Der Auftraggeber ist verpflichtet, unbefugten Dritten keinen Zugriff auf die Kartenzahlungsgeräte
zu gewähren. Sofern der Verdacht besteht, dass sich Dritte Zugang zu einem
Gerät verschafft haben, ist der Auftraggeber verpflichtet, dies dem Auftragnehmer
unmittelbar anzuzeigen.
IX. Anforderungen an den Datenschutz
Die Übertragung der Daten erfolgt ausschließlich über gesicherte (verschlüsselte Übertragung)
Mobilfunk bzw. mobilen Datenfunk. Auf die Regelungen in der Anlage 2 wird besonders
hingewiesen.
17.8.4Reporting
Der Auftragnehmer ist verpflichtet, die in der Anlage 1 (Leistungsbeschreibung) angegebenen Anforderungen
an Reporting zu erfüllen.
17.8.5Optionale Leis tungen
Der Auftragnehmer ist verpflichtet während der gesamten Vertragslaufzeit nachfolgend dargestellten
Leistungen zu erbringen, sobald der Auftraggeber hiervon Gebrauch macht.
I. Lieferung von bis zu 10 weiteren Geräten
Nimmt der Auftraggeber von seiner Option Gebrauch und verlangt Lieferung weiterer Geräte,
so gelten die unter Ziffer 17.8.1 dieses Vertrages gemachten Ausführungen. Die Abrechnung
erfolgt entsprechend Ziffer 17.8.7 dieses Vertrages.
II. Lieferung von Thermopapier
Nimmt der Auftraggeber von seiner Option Gebrauch, so ist der Auftragnehmer verpflichtet,
die vom Auftraggeber bestellte Menge an Thermopapier innerhalb von einer Arbeitswoche
an die vom Auftraggeber noch näher zu bestimmende Dienststelle auf seine Kosten zu liefern.
Wird das Thermopapier versandt, so erfolgt dies auf Rechnung und Gefahr des Auftragnehmers.
17.8.6Vergütung des Ges amts ys tems
I. Die Vergütung erfolgt entsprechend Ziffer 3 der Leistungsbeschreibung. Sie gliedert sich in
folgende Einzelpositionen:
Monatlicher Mietpreis der Geräte inklusive Full-Service und Zubehör
Verbrauchsabhängige Kosten (Transaktionskosten)
Umsatzabhängige Kosten (Bankautorisierung, Disagio)
II. Monatlicher Mietpreis der Geräte inklusive Full-Service und Zubehör
1. Durch den monatlichen Mietpreis sind alle nachfolgenden Positionen abgegolten:
Bereitstellung der unter Ziffer 4.2 ldf. Nr. 1 und Nr. 2 angeführten Anzahl an
Geräten inkl. Zubehör
Rollout der Systeme inklusive aller vorbereitenden Maßnahmen (z.B. Vorkonfiguration)
sowie Anlieferung und Rücknahme der Geräte an den Einsatzstandorten
(73 Dienststellen der ÄDBV in Bayern) bzw. falls auf Veranlassung
des Auftragnehmers verschickt, die Übernahme der Versandkosten
Dokumentation zur erstmaligen Inbetriebnahme, zur Durchführung von Zahlungsvorgängen
sowie mit Hinweisen zum Vorgehen bei Störungen
Bedienungsanleitungen in deutscher Sprache
Full-Service gemäß Anlage 1 (Leistungsbeschreibung) und Bieterangaben in
der Bewertungsmatrix Leistung inklusive kostenloser Service-Hotline
Bedarfswartung der Systeme
Verschleiß- /Ersatzteile usw.
Wiederherstellung der Betriebsbereitschaft einzelner Geräte durch Vor-Ort-
54
EVB-IT Systemvertrag Seite 37 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
Service oder Geräteaustausch innerhalb von 24 Arbeitsstunden, sofern das
Problem nicht über die Servicehotline und Mitwirkung des Nutzers gelöst werden
kann
Änderung von Stammdaten (z.B. Änderung Adresse, Bankverbindung usw.)
Errichtung und Betrieb eines Netzservice sowie Abwicklung von Zahlungen
(ausgenommen verbrauchs- und umsatzabhängige Kosten)
2. Sämtliche anfallenden Kosten und Gebühren sind pro Gerät und Dienststelle monatlich
in Rechnung zu stellen. Werden mehrere Geräte pro Dienststelle abgerechnet,
so kann eine Gesamtrechnung für alle Geräte erstellt werden. Der Gesamtrechnung
soll dann eine gesonderte Aufschlüsselung für jedes Gerät beigefügt
werden.
III. Die verbrauchs- und umsatzabhängigen Kosten sind wie folgt abzurechnen:
1. Die Abrechnung der verbrauchs- und umsatzabhängigen Kosten gegenüber dem Auftraggeber
erfolgt getrennt nach den Einsatzorten der Geräte in den jeweiligen Dienststellen
monatlich, im Nachhinein und in Form einer schriftlichen Rechnung.
2. Sofern eine Dienststelle mehrere Geräte einsetzt, sind die Gebühren in einer Gesamtrechnung
zusammenzufassen.
3. Um die Prüfbarkeit der Rechnung hinsichtlich der einzelnen Geräte und der einzelnen
Kosten zu gewährleisten, ist der Abrechnung ein Report über die verarbeiteten Zahlungen
beizufügen.
IV. Optionale Positionen werden gesondert vergütet.
Hierunter fallen:
10 Pakete Thermopapier: Preis pro Paket mit 100 Rollen (inkl. Lieferung)
Anmietung von 10 zusätzlichen Kartenzahlungsgeräten incl. Full-Service und
Zubehör
V. Bei Inbetriebnahme oder Rückgabe von Geräten während eines Kalendermonats beträgt der
Mietzins je Kalendertag und Gerät 1/30 der Grundmonatsmiete aus Abs. 2. Die Abrechnung
erfolgt Tag genau.
VI. Die Zahlungsfrist beträgt 30 Tage. Sie beginnt mit dem Tag des Rechnungseingangs, jedoch
nicht vor Fälligkeit der Miete.
VII. Rechnungsempfänger ist das jeweils betroffene Amt für Digitalisierung, Breitband und
Vermessung.
VIII. In den Preisen sind sämtliche Auslagen und Nebenkosten enthalten, die zur Erbringung der
geforderten und angebotenen Leistungen erforderlich (z.B. Spesen, Fahrtkosten, etc.) sind.
Reisezeiten werden nicht vergütet.
17.8.7Preis anpas s ungs klaus el
Der Auftragnehmer hat die Möglichkeit, die Vergütung zu Beginn des 3. und 4. Vertragsjahres um bis zu 2 %
des letztmaligen Preises zu erhöhen. Die Erhöhung erfolgt auf Initiative des Auftragnehmers. Eine rückwirkende
Erhöhung ist ausgeschlossen.
17.8.8Kündigung des ges amten Sys temvertrags
I. Wird ein Teil dieses Vertrages gekündigt, so hat es die Beendigung des gesamten Systemvertrags
zur Folge.
II. Verliert der Auftragnehmer seine Zulassung als Netzbetreiber, sind die Parteien berechtigt,
den Vertrag im Ganzen außerordentlich fristlos zu kündigen.
III. Sollten über einen längeren Zeitraum (mind. 1 Monat) regelmäßig unvorhergesehene Ausfallzeiten
entsprechend 17.8.4 Abs. 3 von erheblichen Umfang (mind. eine Stunde pro Tag)
auftreten, ist der Auftraggeber berechtigt, den Vertrag im Ganzen außerordentlich fristlos zu
kündigen.
55
EVB-IT Systemvertrag Seite 38 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
IV. Das Recht zur außerordentlichen Kündigung bleibt unberührt.
17.8.9Vertrags s trafe bei Schlechtleis tung
I. Kommt der Auftragnehmer seinen vertraglichen Pflichten nicht oder nicht in gehöriger Weise
nach, so kann der Auftraggeber für jeden Kalendertag eine Vertragsstrafe in Höhe von 0,2 v.
H. des Brutto-Auftragswerts aus diesem Vertrag verlangen. Insgesamt darf die Vertragsstrafe
jedoch nicht mehr als 5 v.H. des Brutto-Auftragswerts dieses Vertrags betragen.
II. Die Geltendmachung von Schadensersatzansprüchen bleibt hiervon unberührt.
17.8.10 Keine Arbeitnehmerüberlas s ung
I. Gegenstand ist die bloße Erbringung der angeführten Dienstleistungen. Es entsteht keine
Arbeitnehmerüberlassung und eine solche ist auch im Vollzug des Vertrags nicht bezweckt.
II. Sämtliche Regelungen sind so zu verstehen, dass dadurch das Personenauswahlrecht und
die Weisungs- und Direktionsbefugnisse nicht zum Auftraggeber gezogen werden. Soweit
dem Auftraggeber die Einflussnahme auf die Art und Weise der Leistungserbringung eingeräumt
wird, geschieht dies vor allem aus organisatorischen Gründen seitens des Auftraggebers
und zieht keine Verlagerung der personalwirtschaftlichen Zuständigkeiten nach sich. So
werden die Arbeitnehmer weder in den Betrieb des Auftraggebers eingeordnet noch unterstehen
sie direkt den Weisungen des Auftraggebers.
17.8.11 Vertraulichkeits erklärung
I. Der Auftragnehmer erklärt, dass er rechtlich und tatsächlich in der Lage ist, alle im Rahmen
des Vertragsverhältnisses erlangten vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse
- auch nach Beendigung des Vertragsverhältnisses - vertraulich zu behandeln,
insbesondere nicht an Dritte weiterzugeben oder anders als zu vertraglichen Zwecken zu
verwerten. Insbesondere bestehen zum Zeitpunkt der Abgabe des Angebotes keine Verpflichtungen,
Dritten solche Informationen zu offenbaren oder in anderer Weise zugänglich
zu machen. Dies gilt nicht, soweit hierfür gesetzliche Offenlegungspflichten bestehen (etwa
gegenüber Stellen der Börsenaufsicht, Regulierungsbehörden oder der Finanzverwaltung),
es sei denn, solche Offenlegungspflichten bestehen gegenüber ausländischen Sicherheitsbehörden.
In Zweifelsfällen hat der Auftragnehmer den Auftraggeber auf die gesetzliche(n)
Offenlegungspflicht(en) im Rahmen der Abgabe der vorstehenden Erklärung hinzuweisen.
II. Der Auftragnehmer ist verpflichtet, den Auftraggeber sofort schriftlich zu benachrichtigen,
wenn er die Einhaltung dieser Verpflichtung nicht mehr gewährleisten kann, insbesondere,
wenn für ihn eine Notwendigkeit oder Verpflichtung entsteht oder er eine solche hätte erkennen
können, die ihn an der Einhaltung der Vertraulichkeit hindern könnte.
III. Vertrauliche Informationen sind Informationen, die ein verständiger Dritter als schützenswert
ansehen würde oder die als vertraulich gekennzeichnet sind; dies können auch solche Informationen
sein, die während einer mündlichen Diskussion bekannt werden. Vertrauliche
Informationen dürfen ausschließlich zum Zweck der Erfüllung der Verpflichtungen aus dem
Vertrag eingesetzt werden. Die Verpflichtung zur Vertraulichkeit gilt nicht für Informationen,
die den Parteien bereits rechtmäßig bekannt sind oder außerhalb des Vertrages ohne Verstoß
gegen eine Vertraulichkeitsverpflichtung bekannt werden.
17.8.12 Korruptions prävention und paus chalis ierter Schadens ers atz
Wenn der Auftragnehmer aus Anlass der Vergabe nachweislich eine Abrede getroffen hat,
die eine unzulässige Wettbewerbsbeschränkung darstellt, hat er 5 v. H. der Auftragssumme
an den Auftraggeber zu zahlen, es sei denn, dass kein oder ein Schaden in anderer Höhe
nachgewiesen wird. Dies gilt auch, wenn der Vertrag gekündigt wird oder bereits erfüllt ist.
17.8.13 Datens chutzvereinbarung
Die Ämter für Digitalisierung, Breitband und Vermessung verwalten sensible Daten. Der Auf-
56
EVB-IT Systemvertrag Seite 39 von 39
Vertragsnummer/Kennung Auftraggeber 73 Kartenzahlungsgeräte, Az.: H 1620.2.1 - 964
Vertragsnummer/Kennung Auftragnehmer _______
Die mit * gekennzeichneten Begriffe sind am Ende der EVB-IT System-AGB definiert.
Version 2.01 vom 09.01.2013
tragnehmer wird auf die Datenschutzvereinbarung in der Anlage 2 Vereinbarung zur Auftragsverarbeitung
zu diesem Vertrag hingewiesen. Mit Angebotsabgabe und nur bei anschließender
Zuschlagserteilung gilt die Zustimmung zur Einhaltung der Datenschutzvereinbarung
als abgegeben.
17.8.14 Verpflichtungs erklärung
I. Mitarbeiter des Auftragnehmers werden gemäß 1 Verpflichtungsgesetz verpflichtet und
haben im Anschluss eine Niederschrift (Anlage 2 Vereinbarung zur Auftragsverarbeitung) zu
unterzeichnen.
II. Die Verpflichtungserklärung ist zu unterzeichnen, soweit Mitarbeiter des Auftragnehmers mit
sensiblen Daten des Auftraggebers in Berührung kommen. Dies gilt insbesondere, wenn
Stammdaten erstmalig eingepflegt oder auf Verlangen des Auftraggebers verändert werden,
bei Vor-Ort-Einsätzen, bei Wartungsarbeiten an der Dienststelle des Auftraggebers oder
ähnliches.
III. Hat ein Mitarbeiter des Auftragnehmers eine Verpflichtungserklärung nicht unterzeichnet oder
weigert er sich, so hat der Auftragnehmer einen anderen Mitarbeiter, der diese Voraussetzung
erfüllt, zu schicken. Sämtliche daraus resultierenden Folgen gehen zu Lasten des
Auftragnehmers.
17.8.15 Abtretung
Die Abtretung von Forderungen des Auftragnehmers bedarf der schriftlichen Zustimmung
des Auftraggebers.
17.8.16 Gerichts s tand
Als Gerichtsstand wird München vereinbart.
17.8.17 Schriftformklaus el
I. Änderungen oder Ergänzungen dieses Vertrags sind nur wirksam, wenn sie schriftlich vereinbart
werden. Dies gilt auch für eine Änderung dieser Schriftformklausel.
II. Abweichend von Abs. 1 sind auch formlos getroffene Änderungen oder Ergänzungen dieser
Vereinbarung wirksam, wenn sie Individualvereinbarungen im Sinne von 305 b BGB sind.
17.8.18 Salvatoris che Klaus el
I. Sollten Teile dieser Vereinbarung unwirksam sein oder werden, so bleiben die übrigen Teile
dieser Vereinbarung davon unberührt. Beide Parteien verpflichten sich, anstelle der unwirksamen
Klausel eine ihrerseits wirksame Klausel zu vereinbaren, die dem wirtschaftlichen
Zweck des unwirksamen Teiles am nächsten kommt
II. Sollte in diesem Vertrag ein regelungsbedürftiger Punkt versehentlich nicht geregelt worden
sein, so verpflichten sich die Vertragsparteien, die so entstandene Lücke im Sinne und Geiste
dieses Vertrages durch eine ergänzende Vereinbarung zu schließen.
Die sonstigen Vereinbarungen ergeben sich aus Anlage Nr. .
, ,
Ort Datum Ort Datum
Auftragnehmer Auftraggeber
Unterschrift Auftragnehmer (Name in Druckschrift) Unterschrift Auftraggeber (Name in Druckschrift)
57
- 1 -
Anlage 1
Leistungsbeschreibung
Inhaltsverzeichnis
1 Einleitung
................................................................................................................... - 3 -
1.1 Das Landesamt für Digitalisierung, Breitband und Vermessung .......................... - 3 -
1.2 Vertragsgegenstand............................................................................................ - 3 -
1.3 Vertragslaufzeit ................................................................................................... - 3 -
1.4 Technische Änderungen, Weiterentwicklungen................................................... - 4 -
2 Einzelne Vertragsbestandteile.................................................................................... - 4 -
2.1 Anmietung von 73 Geräten.................................................................................. - 4 -
2.1.1 Allgemeine Anforderungen........................................................................... - 4 -
2.1.2 Hardware ..................................................................................................... - 4 -
2.1.3 Software....................................................................................................... - 5 -
2.1.4 Programmierung der Geräte......................................................................... - 5 -
2.1.5 Anbindung der Kartenzahlungsgeräte an den Server des Auftragnehmers .. - 6 -
2.1.6 Pilotbetrieb an einem Standort ..................................................................... - 7 -
2.1.7 Beifügen einer Dokumentation ..................................................................... - 7 -
2.1.8 Umgebungsbedingungen ............................................................................. - 7 -
2.1.9 Barrierefreie Gestaltung ............................................................................... - 8 -
2.1.10 Lieferung der Geräte .................................................................................... - 8 -
2.1.11 Rücknahme der Geräte................................................................................ - 8 -
2.2 Full-Service ......................................................................................................... - 8 -
2.2.1 Servicehotline............................................................................................... - 8 -
2.2.2 Wiederherstellungszeit ................................................................................. - 9 -
2.2.3 Wartung und Reparatur der Geräte / Updates / Upgrades............................ - 9 -
2.2.4 Änderung der Stammdaten .......................................................................... - 9 -
2.3 Abwicklung von Zahlungen................................................................................ - 10 -
58
- 2 -
2.3.1 Zahlungsarten ............................................................................................ - 10 -
2.3.2 Zahlungsvorgang ....................................................................................... - 10 -
2.3.2.1 Bezahlvorgang beim Zahlungspflichtigen ............................................ - 10 -
2.3.2.2 Einzug beim Zahlungspflichtigen......................................................... - 10 -
2.3.2.3 Gutschrift auf das Konto des Auftraggebers ........................................ - 10 -
2.3.3 Anforderungen an die Gutschrift................................................................. - 11 -
2.4 Reporting .......................................................................................................... - 11 -
2.5 Sonstige Leistungen.......................................................................................... - 11 -
3 Vergütung ................................................................................................................ -
12 -
59
- 3 -
1 Einleitung
1.1 Das Landesamt für Digitalisierung, Breitband und Vermessung
Das Landesamt für Digitalisierung, Breitband und Vermessung (LDBV) ist Ansprechpartner
des Bayerischen Staatsministeriums der Finanzen und für Heimat auch auf dem Gebiet der
Vermessung. Als Mittelbehörde ist es das Bindeglied zwischen der verwaltungspraktischen
Tätigkeit der örtlichen Ämter für Digitalisierung, Breitband und Vermessung (ÄDBV) und der
lenkenden und etatverwaltenden Staatsspitze.
Es unterstützt die ihm nachgeordneten ÄDBV in fachlicher, organisatorischer und technischer
Hinsicht und übt über diese die Fach- und Dienstaufsicht aus.
1.2 Vertragsgegenstand
Das LDBV beabsichtigt an den ÄDBV die Einführung der Kartenzahlung als moderne und
digitale Zahlmöglichkeit. Dazu sollen für alle Dienststellen der ÄDBV (51 Hauptämter und 22
Außenstellen) Kartenzahlungsgeräte angemietet werden.
Der Vertrag beinhaltet folgende Leistungen:
Anmietung von 73 Kartenzahlungsgeräten (nachfolgend: Geräte) für die
Geschäftszimmer der ÄDBV (Adressen siehe Anlage Dienststellen)
Abwicklung von Zahlungen
o mit Debitkarte (girocard, Maestro, VPay)
o mit Kreditkarte (MasterCard, VISA, American Express, Diners Club)
o durch kontaktloses Bezahlen per Karte mit PIN oder Unterschrift
o per Smartphone (NFC Methode; z.B. Apple Pay, Google Pay, Samsung Pay
oder Bezahl App Boon)
Full-Service (insbesondere Servicehotline, Wartung usw.)
Reporting
OPTIONAL:
o Anmietung von bis zu 10 weiteren Kartenzahlungsgeräten, in mehreren
Teilmengen für verschiedene Standorte
1.3 Vertragslaufzeit
Der Vertrag wird für den Zeitraum vom 01.01.2020 bis 31.12.2023 abgeschlossen und kann
zweimal um jeweils ein Jahr verlängert werden.
60
- 4 -
1.4 Technische Änderungen, Weiterentwicklungen
Um während der Vertragslaufzeit an technischen Änderungen und Weiterentwicklungen von
Standards und weiteren Zahlungsmöglichkeiten teilzunehmen, kann der Auftragnehmer diese
Ergänzung oder Änderung in diesem Fall in einem eigenen Angebot als Vertragsergänzung
anmelden. Mit der Annahme dieses Angebots durch den Auftraggeber wird die
Vertragsänderung als Anlage Bestandteil des neuen Gesamtvertrags.
2 Einzelne Vertragsbestandteile
2.1 Anmietung von 73 Geräten
2.1.1 Allgemeine Anforderungen
Alle Geräte müssen fabrikneu (keine Recycling-/ Gebraucht-Systeme), vom gleichen
Hersteller und vom gleichen Modell sein.
Sollte der angebotene Gerätetyp während der Vertragslaufzeit aufgrund eines Modell- oder
Komponentenwechsels nicht mehr verfügbar sein, so muss das angebotene Nachfolgemodell
in allen Punkten mindestens den Leistungsspezifikationen des ursprünglich angebotenen
Modells entsprechen. Ein Wechsel des Gerättyps ist nur im gegenseitigen Einvernehmen
möglich.
Die Geräte müssen während der gesamten Vertragslaufzeit alle Anforderungen aus dem
Abkommen der Deutschen Kreditwirtschaft1 samt dessen Anlagen sowie denen des Payment
Card Industry Security Standards Council erfüllen.
2.1.2 Hardware
Alle stationären und netzgebundenen Geräte müssen mit folgenden Komponenten
ausgestattet sein:
Sicherheitsmodul
Eingabetastatur (PIN-Pad)
Chipkartenleser
NFC-Leser zur kontaktlosen Bezahlung mit Karte und Smartphone
Möglichkeit der elektronischen Unterschriftenerfassung
beleuchtetes Display
1 Das DFÜ-Abkommen ist ein Abkommen über die Datenfernübertragung zwischen Kunden und Kreditinstituten. Hierin
verpflichten sich die im Interessensverband Die Deutsche Kreditwirtschaft zusammengeschlossenen Verbände namens ihrer
Mitglieder ihren Kunden gegenüber zu gemeinsamen Standards im elektronischen Zahlungsverkehr
(https://die-dk.de/zahlungsverkehr/electronic-banking/dfu-verfahren-ebics/).
61
- 5 -
Sichtschutz
Integrierter Thermodrucker
LAN-Schnittstelle
Schnittstelle zur Übertragung von Daten (Preis, Buchungskennzeichen) an das Gerät
(ggf. gleich LAN-Schnittstelle); Eine Beschreibung des Schnittstellenformats und der
Funktionalität zur Übermittlung der Daten ist beizufügen.
Deutschsprachige Bedienungsanleitung
Zubehör:
o Reinigungsset für Kartenleser
o 2 Rollen Thermopapier für Belegdruck pro Gerät (bei Geräteauslieferung
kostenfrei beiliegend)
Anmerkung:
Im Angebot ist die genaue Modellbezeichnung des angebotenen Gerätes anzugeben. Für das
angebotene Modell sind Prospektmaterial, Datenblätter sowie aussagekräftige Nachweise der
geforderten Merkmale im Anhang beizulegen.
Mit den Geräten müssen die unter Punkt 2.3.1 aufgeführten Zahlungsarten abgewickelt
werden können.
2.1.3 Software
Folgende durch den Auftragnehmer lizenzierten Softwarekomponenten müssen auf den
Geräten installiert und konfiguriert sein:
Betriebssystem
Kommunikationssoftware
Software des Sicherheitsmoduls
Softwaremodule für EMV und NFC
Alle benötigten Updates und Upgrades werden vom Auftragnehmer kostenfrei installiert.
2.1.4 Programmierung der Geräte
Die Programmierung der Geräte erfolgt durch den Auftragnehmer nach den Vorgaben des
Auftraggebers, d.h. die Stammdaten werden ab Zuschlagserteilung und nach Rücksprache mit
dem Auftragnehmer durch den Auftraggeber zur Verfügung gestellt. Hierzu hat sich der
Auftragnehmer mit dem Auftraggeber unverzüglich nach Zuschlagserteilung in Verbindung zu
setzen.
62
- 6 -
Die Programmierung umfasst folgende Leistungen:
Einrichtung der Stammdaten (Standort, Adresse, Bankverbindung,
Identifizierungsmerkmal des Gerätes)
Möglichkeit zur individuellen Dateneingabe (alphanumerisch mit Sonderzeichen) bei
jedem Zahlungsvorgang
Alle Geräte sind betriebs- und einsatzbereit an die jeweiligen Dienststellen der ÄDBV zu
liefern, damit diese ab dem 02.01.2020 durch die jeweiligen Nutzer eingesetzt werden können.
2.1.5 Anbindung der Kartenzahlungsgeräte an den Server des Auftragnehmers
Die Kartenzahlungsgeräte werden in den ÄDBV innerhalb des Bayerischen Behördennetzes
betrieben. Die Anbindung an den Server des Auftragnehmers (nachfolgend: AN) erfolgt in der
Regel über das Internet. Hierbei sind die geltenden Sicherheitsrichtlinien einzuhalten, siehe
Anlage Sicherheitsrichtlinien). Entscheidend ist die Fähigkeit, über den zentralen Internetproxy
zu kommunizieren und welche Ports für die Kommunikationsbeziehung verwendet werden.
Sofern die Kommunikation nicht über die in Anlage 2 der BayITSiR-02 aufgeführten
Standardports möglich ist, ist die Kommunikation via Internet nicht möglich. In diesem Fall ist
gem. BayITSiR-06 Punkt 2.1.1 die Kommunikation zwischen den Terminals und dem Server
des AN über einen Dienstleisteranschluss im Bayerischen Behördennetz zu realisieren.
Der Einsatz eines Dienstleister-VPN wird in der BayITSiR-09 geregelt und stellt Anforderungen
dar, die der AN einzuhalten hat. Hierbei werden die von den Kartenzahlungsgeräten genutzten
Ports beim AN über das Dienstleister-VPN angesprochen. Der Anschluss an das Dienstleister-
VPN ist unter Angabe des Dienstleisters, der IP-Adressen, der Kartenzahlungsgeräte und der
benötigten Ports vom AN zu beantragen. Die benötigten Ports sind im Angebot des AN
anzugeben.
Zusätzlich ist zu beachten, dass der Dienstleister-Anschluss vom IT-Dienstleistungszentrum
(IT-DLZ) IP-Adressen aus dem privaten 10er Adressraum zugewiesen bekommt. Um die
Kommunikation zum Server herzustellen, müssen diese IP-Adressen in der Regel durch eine
NAT-Umsetzung auf die Adressen des Servers umgesetzt werden. Diese Leistung kann nicht
durch den Behördennetzanschluss gewährleistet werden, sondern muss vom AN durchgeführt
werden.
63
- 7 -
Der AN muss für die Kommunikation mindestens einen Anschluss mit 2 MBit/s Bandbreite
betreiben (ein Anschluss für alle Dienststellen zusammen). Die Beauftragung erfolgt über die
Baykom Rahmenvereinbarung Los 1 Bayerisches Behördennetz. Das Rechenzentrum des AN
muss dazu innerhalb Deutschlands liegen. Die voraussichtlichen Kosten betragen ca. 90 Euro
monatlich zzgl. USt. und sind im monatlichen Mietpreis enthalten.
Der AN hat in den Angebotsunterlagen ausführlich zu beschreiben, wie die Kommunikation
zwischen dessen Rechenzentrum und dem Kartenzahlungsterminal abläuft, welcher Art die
Daten sind, die ausgetauscht werden, welche Komponenten dabei beteiligt sind, welche
Dienste und Ports betroffen sind, wer Zugriff hat bzw. beteiligt ist und durch welche
Maßnahmen die Sicherheit im Datennetz gewährleistet wird. Darüber hinaus ist den
Angebotsunterlagen eine Skizze der Architektur mit den Kommunikationsbeziehungen
beizulegen.
2.1.6 Pilotbetrieb an einem Standort
Nach Zuschlagserteilung muss an einem ADBV ein Pilotbetrieb für die Dauer von zwei
Monaten stattfinden, um vor allem die unter Nr. 2.1.5 beschriebene Anbindung der Geräte an
den Server des Auftragnehmers zu testen. Innerhalb dieser Pilotierungsphase ist die Betriebsund
Abrechnungsbereitschaft der Kartenzahlungsgeräte herzustellen. Währenddessen fallen
keine Kosten für den Auftraggeber an. Erst nach erfolgreicher Pilotierung und Abnahme durch
den Auftraggeber kann der Rollout für die restlichen ÄDBV beginnen und die Abrechnung
starten.
2.1.7 Beifügen einer Dokumentation
Neben der Bedienungsanleitung ist eine zur Einweisung der neuen Nutzer geeignete
Dokumentation beizufügen, in welcher die folgenden Punkte näher erläutert werden:
erstmalige Inbetriebnahme
Durchführung eines Zahlungsvorgangs
Vorgehen bei Störungen
2.1.8 Umgebungsbedingungen
Die Geräte werden ausschließlich innerhalb der Geschäftsräume der ÄDBV eingesetzt. Der
Auftragnehmer hat sicherzustellen, dass das Verfahren unter folgenden Bedingungen
ökonomisch, ergonomisch und sicher betrieben werden kann:
64
- 8 -
Die Geräte müssen schlag- und stoßgeschützt sein.
Ein Fall von Geräten aus normaler, stehender Arbeitshöhe muss mehrfach
unbeschadet überstanden werden können.
2.1.9 Barrierefreie Gestaltung
Damit Menschen mit Einschränkungen die notwendigen Eingaben möglichst selbstständig
vornehmen können, müssen die Geräte neben einer entsprechenden Größe folgende
Mindestanforderungen erfüllen: Sie müssen mit einem gut lesbaren und kontrastreichen
Display ausgestattet sein. Die ausreichend große Schrift muss entweder weiß auf schwarzem
Hintergrund bzw. schwarz auf weißem Hintergrund sein. Durch taktile Kennzeichnung der
Tasten soll ein zusätzlicher Orientierungshinweis ermöglicht werden (die 5 mit einem
erhabenen Punkt, Zeichen für Bestätigung und Löschen mit eindeutig kodierten Symbolen).
2.1.10 Lieferung der Geräte
Die Auslieferung der konfigurierten, betriebsbereiten Geräte erfolgt zeitnah nach erfolgreichem
Pilotbetrieb und Abnahme durch den Auftraggeber (siehe 2.1.6) zu den unter 2.2.2 genannten
Dienstzeiten an die 73 Dienststellen (Adressen siehe Anlage Dienststellen), um den Einsatz
der Kartenzahlungsgeräte und den Abrechnungsstart zum 02.01.2020 sicherzustellen. Die
Versandkosten der Geräte sind im monatlichen Mietpreis enthalten.
Der Auftragnehmer teilt dem Auftraggeber spätestens einen Tag vor Lieferung der Geräte die
Seriennummern und MAC-Adressen der Geräte in elektronischer Form (z. B. EXCEL-Tabelle)
mit.
2.1.11 Rücknahme der Geräte
Am Ende der Vertragslaufzeit bzw. bei Ausübung des Kündigungsrechts nach 17.8.1 III Abs.
2 a) des EVB-IT System Vertrags werden die Geräte vom Auftragnehmer an den
Einsatzstandorten abgeholt oder von den ÄDBV zurückgeschickt. Die Versandkosten der
Geräte sind im monatlichen Mietpreis enthalten.
2.2 Full-Service
2.2.1 Servicehotline
Der Auftragnehmer stellt für die gemieteten Geräte und den Netzbetrieb eine gebührenfreie
erreichbare Servicehotline zur Verfügung.
65
- 9 -
Die Hotline muss deutschsprachig und Montag bis Freitag mindestens von 8:00 Uhr bis 17:00
Uhr erreichbar sein.
Der Support umfasst insbesondere folgende Leistungen:
Unterstützung der Anwender bei erstmaliger Nutzung der Geräte
Entgegennahme von Störungsmeldungen
Support bei Hard- / Softwareproblemen
Beratung bei Sicherheitsanfragen
2.2.2 Wiederherstellungszeit
Im Störungsfall muss, sofern das Problem nicht über die Hotline unter Mitwirkung des Nutzers
gelöst werden kann, die Betriebsbereitschaft der einzelnen Geräte innerhalb von 24
Arbeitsstunden nach Störungsmeldung durch Vor-Ort-Service2 oder sofortigen Austausch
wiederhergestellt werden.
Vor-Ort-Leistungen können ausschließlich nach vorheriger Absprache mit dem jeweiligen
ADBV während der Dienstzeiten (Mo Do 8:00 Uhr bis 17:00 Uhr; Fr 08:00 Uhr bis 12:00 Uhr)
erbracht werden.
Bei der Berechnung der 24-Stunden-Frist bleiben Wochenenden, bayerische und
bundeseinheitliche Feiertage sowie der 24. und 31.12. unberücksichtigt. Im Übrigen sei auf die
Regelungen im EVB-IT System Vertrag zu Wiederherstellungszeit in Stunden verwiesen.
2.2.3 Wartung und Reparatur der Geräte / Updates / Upgrades
Alle erforderlichen Gerätewartungen und reparaturen sind im Full-Service enthalten.
Notwendige Software-/ Sicherheitsupdates sowie Softwareupgrades werden vom
Auftragnehmer unverzüglich und kostenlos bereitgestellt und eingespielt.
Die Wartungs-, Reparatur- und Update-Maßnahmen dürfen nicht zu Betriebsausfällen länger
als 10 Arbeitstage führen. Andernfalls werden kostenfreie Ersatzgeräte zur Verfügung gestellt.
2.2.4 Änderung der Stammdaten
Sofern sich Stammdaten ändern (z.B. Standort, Adresse, Bankverbindung etc.) werden diese
vom Auftragnehmer nach Mitteilung durch den Auftraggeber geändert. Die Kosten hierfür sind
mit dem monatlichen Mietpreis abgegolten.
2 Unter Vor-Ort-Service ist die Behebung des Problems bzw. die Reparatur des Gerätes an der jeweiligen Dienststelle gemeint.
66
- 10 -
2.3 Abwicklung von Zahlungen
2.3.1 Zahlungsarten
Als Zahlungsarten sind derzeit Debitkartenzahlungen mit PIN (girocard, Maestro, VPay),
Kreditkartenzahlungen, Bezahlen per Handy (NFC Methode; Apple Pay, Google Pay,
Samsung Pay, Bezahl App Boon) und kontaktloses Bezahlen per Karte mit PIN oder
Unterschrift vorgesehen.
2.3.2 Zahlungsvorgang
2.3.2.1 Bezahlvorgang beim Zahlungspflichtigen
Bei Nutzung der genannten Zahlungsarten erhält der Mitarbeiter des Auftraggebers nach
Überprüfung der Karte auf Tageslimit, Kreditkartenlimit und Verfügbarkeit eine
Zahlungsbestätigung durch die zuständige Bank bzw. das zuständige
Kreditkartenunternehmen des Zahlungspflichtigen, welche die Zahlung garantiert.
Mit dem Bezahlvorgang müssen zwei Belege ausgedruckt werden können (Kundenbeleg und
Beleg für das ADBV).
2.3.2.2 Einzug beim Zahlungspflichtigen
Die Bank des Anbieters der Kartenzahlungsgeräte, mithin die des Auftragnehmers, veranlasst
den Einzug der Beträge bei der Bank bzw. des Kreditkartenunternehmens des
Zahlungspflichtigen als Ersteinzieher (=Treuhandabwicklung). Die Gutschriften der mittels
Kartenzahlung gezahlten Beträge erfolgen nach Vornahme eines Kassenschnittes
(Tagesabschluss am Gerät) auf ein Sammelkonto des Auftragnehmers.
2.3.2.3 Gutschrift auf das Konto des Auftraggebers
Die eingezogenen Geldbeträge aus allen vorgesehenen Zahlungsverfahren sind in voller
Höhe, also ohne Abzug von Kosten und Gebühren, auf das vom Auftraggeber vorgegebene
Zielkonto gutzuschreiben.
Zielkonto ist das Konto des jeweiligen ADBV. Die Bankverbindungen werden dem
Auftragnehmer vom Auftraggeber mit Erteilung des Zuschlags für jedes ADBV gesondert
mitgeteilt.
Die umsatz- und verbrauchsabhängigen Kosten sind den ÄDBV erst mit der
Monatsabrechnung mit Zahlungsziel 30 Tage in Rechnung zu stellen.
67
- 11 -
Die Gutschrift auf dem Bankkonto des ADBV muss bei Zahlungen mit der Debitkarte
spätestens am auf den Kassenschnitt des Geräts folgenden Bankarbeitstag erfolgen.
Kreditkartenzahlungen sollten entsprechend gutgeschrieben werden. Sofern die tägliche
Gutschrift von Kreditkartenzahlungen nicht möglich sein sollte, ist die Sammlung dieser
Zahlungen über einen Zeitraum von einer Woche und eine anschließend zusammengefasste
Gutschrift zulässig.
Anmerkung:
Das technische Verfahren mit sämtlichen Buchungen bis zur Gutschrift auf dem Konto des
ADBV und die vorgesehenen Gutschriftzeiten sind schriftlich und grafisch im Angebot
darzustellen.
2.3.3 Anforderungen an die Gutschrift
Der Netzbetreiber ermöglicht es, jedem Kartenlesegerät ein eigenes Identifizierungsmerkmal
zuzuordnen (max. 17-stellig).
Bei der Gutschrift der vom Zahlungsverpflichteten geleisteten Zahlungen durch die Bank des
Auftragnehmers an das jeweilige Konto des ADBV ist zudem ein bestimmter, definierter
Verwendungszweck (alphanumerisch) anzugeben, der bei jeder Weiterleitung zusammen mit
dem Identifizierungsmerkmal des Gerätes anzugeben ist.
2.4 Reporting
Die Reportinginformationen (Betrag, Terminal-ID, Identifizierungsmerkmal, Bemerkungsfeld)
müssen monatlich an die jeweiligen Dienststellen sowie als Gesamtdatei übermittelt werden.
Die automatische Übermittlung der Daten muss in einem für die ÄDBV lesbaren Dateiformat
(CSV bzw. Excel) erfolgen. Die Kontaktdaten werden dem Auftragnehmer nach
Zuschlagserteilung gesondert mitgeteilt.
2.5 Sonstige Leistungen
Für optionalen Bezug von Belegpapier sind die Bezeichnung und die Kosten
(Produkte/Leistungen im Angebotsassistenten) mitzuteilen.
68
- 12 -
3 Vergütung
Das Angebot gliedert sich in folgende Einzelpositionen. Die entsprechenden Kosten sind im
Angebotsassistenten unter Produkte/Leistungen einzutragen.
Monatlicher Mietpreis der Geräte inklusive Full-Service und Zubehör
Verbrauchsabhängige Kosten (Transaktionskosten). Es wird mit insgesamt 50.000
Zahlungsvorgängen pro Jahr gerechnet.
Umsatzabhängige Kosten (Bankautorisierung, Disagio)
Optionale Positionen sind gesondert zu vergüten. Hierunter fallen:
10 Pakete Thermopapier: Preis pro Paket mit 100 Rollen (inkl. Lieferung)
Anmietung von zusätzlich 10 Kartenzahlungsgeräten inklusive Full-Service und
Zubehör
69
BayITSiLL [Leitlinie zur Informationssicherheit (IT
Security Policy) für die bayerische
Staatsverwaltung]
Text gilt seit
01.04.2016
Bayern
2003.4-F
IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung
Leitlinie zur Informationssicherheit (IT Security Policy) für die bayerische
Staatsverwaltung[1]
BayITSiLL
Schreiben des IT-Beauftragten der Bayerischen Staatsregierung
Stand: 1. April 2016, Az. 77/78-C 1001-3/48
[1] Fortgeltung ab 1. 1. 2016 gem. Ministerratsbeschluss v. 31. 5. 2016.
1.
Einleitung
Informationssicherheit nimmt in Zeiten der fortschreitenden Digitalisierung in den
Geschäftsprozessen und Fachaufgaben der Verwaltung und Justiz sowie der steigenden
Bedrohung durch Angriffe auf Daten und IT-Systeme einen immer höheren Stellenwert
ein.
Für Verwaltung und Justiz ist eine sichere Informations- und Kommunikationstechnik von
höchster Bedeutung, denn sie resultiert aus der Verpflichtung des Staates gegenüber den
Bürgern und der Wirtschaft, verantwortungsvoll bei der Erhebung, Speicherung,
Übermittlung und Nutzung von Daten vorzugehen.
Die Verfügbarkeit, Integrität und Vertraulichkeit der in IT-Systemen gespeicherten und
dort übertragenen Daten muss durch technische und organisatorische Maßnahmen
gewährleistet werden.
Die Leitlinie zur Informationssicherheit wird bedarfsorientiert im Rahmen der dafür
vorgesehenen Gremienstrukturen fortgeschrieben.
[gültig ab 01.04.2016]
2.
Zielsetzung
Die Leitlinie zur Informationssicherheit formuliert Ziele und Grundsätze der
Informationssicherheit. Sie gibt vor, für welche Zwecke und mit welchen Mitteln
Informationssicherheit innerhalb der Staatsverwaltung und der Justiz gewährleistet
werden soll. Sie stellt sicher, dass die Verfügbarkeit, Integrität und Vertraulichkeit der in
den IT-Systemen der Staatsverwaltung und Justiz gespeicherten und dort übertragenen
Daten einem normalen Schutzbedarf angemessen und dem Stand der Technik
Anlage Sicherheitsrichtlinien
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_201
1 von 5 04.06.2019
70
entsprechend geschützt werden. Für höheren Schutzbedarf sind darüber hinaus weitere
Maßnahmen zu treffen.
[gültig ab 01.04.2016]
3.
Geltungsbereich
Die Leitlinie zur Informationssicherheit gilt für die unmittelbare Staatsverwaltung1 und die
Justiz. Sie ist von allen Behörden der unmittelbaren Staatsverwaltung sowie der Justiz
entsprechend der Aufgabenverantwortung umzusetzen. Ihre Anerkennung und Einhaltung
ist ferner verbindliche Voraussetzung für die uneingeschränkte Teilnahme am Bayerischen
Behördennetz.
Für Landratsämter und die vom Geltungsbereich dieser Leitlinie nicht umfassten Behörden
wird die uneingeschränkte Teilnahme am Bayerischen Behördennetz in
sicherheitstechnischen Anschlussbedingungen geregelt.
1[Amtl. Anm.:] einschließlich des Bayerischen Obersten Rechnungshofes
[gültig ab 01.04.2016]
4.
Sicherheitsziele in der Informationssicherheit
Die Bayerische Staatsregierung verfolgt mit ihren Investitionen in Informationssicherheit
insbesondere folgende Ziele:
Erfüllung der aus datenschutzrechtlichen und sonstigen gesetzlichen Vorgaben
resultierenden Anforderungen an die Sicherheit der Informationen und der
Informationstechnik
Wahrung von Dienst- oder Amtsgeheimnissen
Effiziente und effektive IT-Unterstützung der Geschäftsprozesse
Verfügbarkeit der IT-Systeme, Netzwerke und digitalen Daten zur Gewährleistung
der Kontinuität der Geschäftsprozesse
Sicherung der in IT-Systeme und Netzwerke, digitale Daten und elektronische
Arbeitsprozesse getätigten Investitionen
Durch Sicherheitsmängel im Umgang mit Informationstechnik verursachte
finanzielle Schäden und negative Außenwirkungen sollen vermieden werden.
Deshalb ist insbesondere
die Integrität, Verfügbarkeit und Vertraulichkeit der in ihren IT-Systemen
gespeicherten bzw. auf ihren Netzwerken übertragenen Daten sowie
die Verfügbarkeit und Integrität ihrer IT-Systeme und Netzwerke
im erforderlichen Umfang zu gewährleisten.
IT-Systeme und Netzwerke sowie die darin gespeicherten bzw. damit übertragenen Daten
sind im erforderlichen Umfang vor
Missbrauch, Manipulation,
unberechtigtem Zugriff und
Verlust
zu schützen und abzusichern.
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 18 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_201
2 von 5 04.06.2019
71
[gültig ab 01.04.2016]
5.
Grundsätze zur Informationssicherheit
Zur Erreichung der in Nr. 4 genannten Sicherheitsziele sind folgende Grundsätze zu
berücksichtigen:
Nachhaltige Informationssicherheit
Ein angemessenes Sicherheitsniveau ist dauerhaft durch geeignete Sicherheitsmaßnahmen
zu gewährleisten, die regelmäßig hinsichtlich ihrer Effektivität zur Erreichung der
Sicherheitsziele überprüft, dokumentiert und ggf. der aktuellen Bedrohungslage
entsprechend angepasst werden.
Sicherheit vor Verfügbarkeit
Im Interesse der Bereitstellung und der Verfügbarkeit sicherer Informations- und
Kommunikationstechnik sind zur Umsetzung notwendiger Sicherheitsmaßnahmen
vertretbare Einschränkungen in Funktionalität, Bedienung und Komfort von IT-Systemen
und Netzwerken zulässig. Wenn Angriffe auf die Integrität, Verfügbarkeit oder
Vertraulichkeit von IT-Systemen oder Netzwerke drohen oder bekannt werden oder
sonstige Sicherheitsrisiken auftreten, kann die Verfügbarkeit von IT-Systemen, Daten und
Netzwerken entsprechend dem Bedrohungs- und Schadensrisiko eingeschränkt werden.
Dies gilt in besonderem Maße für die Übergänge zwischen Netzwerken; sie sind im Falle
von IT-Sicherheitsvorfällen, von denen ein nicht mehr vertretbares Risiko für eigene Netze
ausgeht, zwingend einzuschränken.
Sorgsamer Umgang mit vertraulichen Informationen
Vertrauliche Informationen sind entsprechend der bestehenden Regelungen zu handhaben.
Dem Verlust der Vertraulichkeit und Integrität ist durch geeignete Maßnahmen
vorzubeugen. Mitarbeiter und Führungskräfte gehen sorgfältig mit allen Informationen im
Verwaltungshandeln um.
Maximalprinzip des Schutzes
Die in Geschäftsprozessen erhobenen und verarbeiteten elektronischen Daten sind durch
die jeweiligen Fachverantwortlichen bezüglich ihres Schutzbedarfs zu klassifizieren. Der
Schutzbedarf von IT-Systemen und Netzwerken ergibt sich aus dem maximalen
Schutzbedarf der darauf verarbeiteten und gespeicherten oder darin übertragenen Daten.
Es ist sicherzustellen, dass dem Schutzbedarf angemessene Schutzmaßnahmen ergriffen
werden.
Minimalprinzip des Zugriffs
Der Zugriff auf IT-Systeme und Daten ist auf die notwendigen Personen und Systeme zu
beschränken. Die Zugriffsrechte sind explizit festzulegen. Alle Nutzer und IT-Systeme
erhalten nur die Zugriffsrechte auf IT-Systeme, IT-Anwendungen und Daten, die zur
Erfüllung der jeweiligen Aufgabe bzw. Implementierung ihrer Funktionalität erforderlich
sind.
Prinzip der informierten und verantwortungsbewussten Führungskräfte und
Mitarbeiter
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 18 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_201
3 von 5 04.06.2019
72
Informationssicherheit betrifft ohne Ausnahme alle Mitarbeiter einschließlich der
Führungskräfte. Letztere fördern Informationssicherheit insbesondere durch diesbezüglich
vorbildliches Handeln.
Sensibilisierung der Führungskräfte und Mitarbeiter für und Aufklärung zur
Informationssicherheit sowie erforderliche Schulungen sind eine Grundvoraussetzung zur
Erreichung der Sicherheitsziele. Führungskräfte und Mitarbeiter tragen durch
verantwortungs- und sicherheitsbewusstes Handeln zur Erreichung der Sicherheitsziele
bei.
Wirkungsvoll bei IT-Sicherheitsvorfällen und IT-Notfällen handeln
Bei Eintritt einer Gefährdung (IT-Sicherheitsereignis) ist zur Abwehr angemessen und
geplant zu reagieren, um Schäden möglichst gering zu halten. Die Behandlung von ITSicherheitsvorfällen
und IT-Notfällen ist orientiert am BSI IT-Grundschutz zu regeln,
regelmäßig zu üben und zu dokumentieren.
[gültig ab 01.04.2016]
6.
Sicherheitsprozess Informationssicherheitsmanagementsystem (ISMS)
Um die angestrebten Sicherheitsziele zu erreichen, ist innerhalb der Staatskanzlei, der
Ressorts und des Bayerischen Obersten Rechnungshofes ein Sicherheitsprozess
(Informationssicherheitsmanagementsystem, kurz ISMS) orientiert am BSI ITGrundschutz
und eigenverantwortlich im Rahmen der Vorgaben des IT-Beauftragten der
Bayerischen Staatsregierung einzurichten, dauerhaft zu betreiben und in den
übergreifenden Sicherheitsprozess des IT-Beauftragten zu integrieren.
Wird innerhalb der Staatskanzlei, der Ressorts oder des Bayerischen Obersten
Rechnungshofes bereits ein Sicherheitsprozess für ein IT-System oder eine IT-Umgebung
betrieben, so ist dieser Sicherheitsprozess (Informationsverbund) jeweils in einen
zentralen Sicherheitsprozess zu integrieren.
Zur Initiierung, Planung, Koordinierung, Steuerung und Überprüfung des
Sicherheitsprozesses ist grundsätzlich ressortübergreifend sowie innerhalb der
Staatskanzlei, der Ressorts und des Bayerischen Obersten Rechnungshofes eine
Sicherheitsorganisation orientiert am BSI IT-Grundschutz einzurichten.
[gültig ab 01.04.2016]
7.
Verantwortlichkeiten und Umsetzung
Informationssicherheit ist in alle Geschäftsprozesse und Projekte zu integrieren, bei denen
Informationen verarbeitet und Informationstechnik genutzt wird.
Die Verantwortung für die Informationssicherheit in der Staatsverwaltung liegt im Rahmen
des Ressortprinzips bei den obersten Dienstbehörden.
Die Verantwortung für die Umsetzung von Maßnahmen zur Informationssicherheit in der
Staatskanzlei, den Ressorts und des Bayerischen Obersten Rechnungshofes liegt bei der
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 18 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_201
4 von 5 04.06.2019
73
jeweiligen Behördenleitung. Für übergreifende IT-Infrastruktursysteme fällt die
Verantwortung für deren Sicherheit in die Zuständigkeit des jeweils federführenden
Ressorts.
Die Vorgaben dieser Leitlinie sind im jeweiligen Zuständigkeitsbereich im Rahmen der
verfügbaren Stellen und Mittel in eigener Verantwortung umzusetzen. Aufwand und
Nutzen müssen dabei in einem angemessenen Verhältnis zueinander stehen. Die für die
Umsetzung erforderliche Bereitstellung zusätzlicher finanzieller und personeller Ressourcen
bleibt ggf. künftigen Haushaltsaufstellungen vorbehalten.
[gültig ab 01.04.2016]
8.
Informationssicherheitsorganisation
Der Aufbau der Informationssicherheitsorganisation ist in der Richtlinie zur
Informationssicherheitsorganisation (BayITSiR-O) geregelt.
[gültig ab 01.04.2016]
9.
Durchsetzung
Die Einhaltung dieser Leitlinie sowie der IT-Sicherheitsrichtlinien des IT-Beauftragten der
Bayerischen Staatsregierung werden im Rahmen des in Nr. 6 genannten
Sicherheitsprozesses überprüft.
Abweichungen von den IT-Sicherheitsrichtlinien bedürfen einer Genehmigung im Rahmen
des Vorhabensmanagements des IT-Beauftragten der Bayerischen Staatsregierung.
Bei Verstößen gegen die Vorgaben dieser Richtlinie oder der IT-Sicherheitsrichtlinien ist
die betreffende Behörde im Rahmen des in Nr. 6 genannten Sicherheitsprozesses
aufzufordern, die Vorgaben in einer angemessenen Frist umzusetzen.
Bei anhaltenden Verstößen gegen die Vorgaben ist der Vorfall in die organisatorischen
Strukturen des IT-Beauftragten der Bayerischen Staatsregierung zu eskalieren.
[gültig ab 01.04.2016]
Text gilt seit 01.04.2016
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 18 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_201
5 von 5 04.06.2019
74
BayITSiR-02 [BayITSiR-02 Betrieb
eines Übergangs in das
Internet]
Text gilt seit 01.03.2006 Bayern
2003.4-F
IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung
Betrieb eines Übergangs in das Internet[1]
BayITSiR-02
Schreiben des Bayerischen Staatsministeriums des Innern
Stand: 1. März 2006, Az. IZ7-1074.74-74
[1]Fortgeltung ab 1.1.2016 gem. Ministerratsbeschluss v. 31.5.2016.
1.
Einleitung
Grundlage dieser IT-Sicherheitsrichtlinie für den Betrieb eines Internetzugangs ist die ITSicherheitsleitlinie
(BayITSiLL) sowie die IT-Sicherheitsrahmenrichtlinie für BayKom-Daten
(BayITSiR-GL).
Die vorliegende IT-Sicherheitsrichtlinie regelt den sicheren Betrieb eines
Übergangspunktes in das Internet. Sie gilt für den zentralen und die dezentralen
Internetzugänge im Bayerischen Behördennetz.
[gültig ab 01.03.2006]
2.
Schutzbedarf
Jeder Rechner, der am Internet teilnimmt, ist vielfältigen Bedrohungen ausgesetzt. Dazu
zählen Viren, Würmer, Trojaner, schädlicher Mobile Code, Sniffer, Port Scanner,
Schwachstellen-Scanner oder DoS-Angriffe. Die Zahl der Angriffe und die Qualität der
Angriffstechniken nehmen laufend zu. Dies wird an den folgenden Beispielen deutlich:
Würmer verbreiten sich innerhalb weniger Stunden global im Internet. Die
Abstände zwischen den Updates der Antiviren-Software müssen deshalb erheblich
verkürzt werden.
Durch Distributed Denial of Service werden Denial-of-Service-Attacken massiver
und das Erkennen solcher Angriffe wird erheblich erschwert.
Viren und Schadenssoftware können mit Hilfe sogenannter Construction Kits auch
von weniger erfahrenen Crackern hergestellt und in Umlauf gebracht werden.
Port Scanner und Penetration Tools ermöglichen auf einfache Weise den Einbruch in
am Internet angeschlossene Systeme. Dabei werden häufig längst bekannte und
behebbare Schwachstellen der Systeme ausgenutzt.
Bedrohungen ergeben sich auf Client-Seite durch Schwachstellen in der eingesetzten
Software und durch die Benutzung von Diensten oder Verfahren, die prinzipielle
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206
1 von 7 04.06.2019
75
Schwächen aufweisen. Beispiele sind das Einschleppen von Viren über den E-Mail-Client
oder die Ausführung von schädlichem Mobile Code im Browser.
Auf der Seite der Internet-Server kommt hinzu, dass sie aus dem Internet direkt
erreichbar sind. Die Ausnutzung von Schwachstellen kann zu einer Korrumpierung der
Systeme führen, die wiederum als Ausgangsbasis für weitere Angriffe genutzt werden
kann. Um diesen vielfältigen Bedrohungen entgegenzuwirken, sind die im Folgenden
aufgeführten Regelungen einzuhalten.
[gültig ab 01.03.2006]
3.
Regelungen
Erklärtes Ziel ist es, die Zahl der Internetzugänge möglichst klein zu halten und
vorhandene dezentrale Übergänge nach Möglichkeit abzubauen. Staatlichen Behörden ist
es deshalb grundsätzlich untersagt, neben dem zentral betriebenen Internetzugang andere
Zugänge einzurichten und zu betreiben. Kommunale Behörden können in begründeten
Fällen eigene Internetzugänge einrichten und nutzen.
Am zentralen Internetzugang werden verschiedene Leistungen angeboten, die in den
meisten Fällen den Betrieb eigener Internetzugänge in einer Behörde überflüssig machen.
Es kann auf Dienste im Internet zugegriffen werden und die Behörde kann auf
verschiedene Arten eigene Angebote für das Internet zugänglich machen. Vor der
Einrichtung eines dezentralen Internetzugangs ist deshalb zu prüfen, ob die zentral
angebotenen Leistungen für die eigenen Bedürfnisse nicht ausreichen.
3.1
Technische Schutzmaßnahmen
Der Übergang zum Internet muss über einen festgesetzten und dokumentierten
Übergabepunkt erfolgen. An diesem Übergabepunkt ist eine Sicherheitsinstanz zu
betreiben. Die wesentliche Komponente der Sicherheitsinstanz ist eine Firewall. In den
meisten Fällen muss außerdem eine DMZ eingerichtet werden. Die in der DMZ enthaltenen
Server und Proxies sind im Rahmen dieser Richtlinie ebenfalls als Sicherheitskomponenten
aufzufassen.
3.1.1
Nutzung von Diensten im Internet und in der DMZ
Die Sicherheitsinstanz ermöglicht den Nutzern der Behörde den Zugriff auf explizit
freigegebene Dienste im Internet und in der DMZ. Eine Liste mit den aktuell als sicher
geltenden Diensten ist der Richtlinie als Anhang beigefügt. Diese wird laufend durch das
Sicherheitsteam gepflegt/aktualisiert.
Bei bestimmten Diensten muss die Nutzung eingeschränkt werden. Dies kann dazu führen,
dass nur bestimmte Benutzer einen Dienst nutzen dürfen und/oder nur bestimmte Server
im Internet erreichbar sind. Außerdem kann es notwendig sein, bestimmte Dienste nur mit
beschränktem Funktionsumfang zur Verfügung zu stellen.
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206
2 von 7 04.06.2019
76
3.1.2
Angebot von Diensten für Teilnehmer des Internet
Ein Internetzugang kann dazu genutzt werden, eigene Dienste für das Internet
anzubieten. Für dieses Dienstangebot muss eine DMZ betrieben werden. Es muss
sichergestellt werden, dass aus dem Internet nur auf diese DMZ zugegriffen werden kann.
Grundsätzlich gilt, dass nur explizit freigegebene Dienste angeboten werden dürfen, alles
andere ist zu sperren. Es dürfen nur sichere Dienste angeboten werden. Eine Liste mit
aktuell als sicher geltenden Diensten ist der Richtlinie als Anhang beigefügt. Diese wird
laufend durch das Sicherheitsteam gepflegt/aktualisiert.
3.1.3
Aufbau der Sicherheitsinstanz
Die Sicherheitsinstanz ist grundsätzlich als Application Level Firewall zu realisieren. Sie ist
modular aufzusetzen, abhängig von den benötigten Diensten bzw. vom Schutzbedarf.
Folgende Module müssen in der Sicherheitsinstanz enthalten sein:
Bei der Nutzung von Web-Diensten im Internet ausgehender Internetverkehr ist
ein Proxy zu betreiben. Der Proxy muss Bestandteil der Firewall oder der DMZ sein.
Bei einem erhöhten Schutzbedarf sollte der Proxy durch URL-Blocker, interne
Authentifizierung, Virenschutz und Schutz vor mobilem Code ergänzt werden.
Bei der Abwicklung des E-Mail-Verkehrs über den Internetzugang ist ein
Virenscanner in der DMZ zu platzieren. Alle eingehenden Mails müssen über diesen
Virenscanner laufen und geprüft werden. Außerdem ist sicherzustellen, dass der
SMTP-Server nicht als Mail Relay missbraucht werden kann.
Ist der Betrieb eines eigenen DNS-Servers nötig, muss für Anfragen aus dem
Internet ein extra Server eingerichtet werden, der keine Verbindungen in das LAN
initiieren darf. Der DNS-Server muss Bestandteil der Firewall oder der DMZ sein.
Alle Server, die von außen erreichbar sein sollen (z.B. für E-Government), müssen
in der DMZ angesiedelt sein. Der Zugriff von außen auf Web-Dienste soll nur über
einen Reverse Proxy erfolgen.
Das Sicherheitsniveau kann durch den Einsatz eines Intrusion Detection Systems
erhöht werden.
Die Abbildung 1 stellt die Regeln zur Anwendung der einzelnen Module dar.
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206
3 von 7 04.06.2019
77
Abbildung 1: Module der Sicherheitsinstanz
Nach der Zusammenstellung der benötigten Schutzmaßnahmen sind die Firewall-
Komponenten auszuwählen. Die Behörden sind bei der Auswahl ihrer Produkte frei. Die
Produkte müssen eine Zertifizierung nach Common Criteria (CC) [3], mindestens EAL-4
oder vormals nach ITSEC [2], mindestens E3, mit einem für den Einsatzzweck
entsprechenden Schutzprofil (siehe Anhang), vorweisen. Eine Vorabstimmung mit dem
Bayern-CERT kann zur
Konsolidierung der Produkte
Bestätigung der Übereinstimmung der erteilten Zertifikate mit den Anforderungen
Einheitlichkeit bei der Protokollauswertung
Unterstützung bei Computer Sicherheitsvorfällen
beitragen.
3.2
Organisatorische Schutzmaßnahmen
Die Sicherheitskomponenten müssen gesichert und angemessen verfügbar betrieben
werden. Verschiedene Konzepte zur Durchführung eines solchen Betriebes können in [1]
eingesehen werden. Im Rahmen der vorliegenden Richtlinie sind die im Folgenden
genannten Maßnahmen sicherzustellen.
3.2.1
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206
4 von 7 04.06.2019
78
Physische Sicherheit
Die Sicherheitskomponenten sind in physikalischen Schutzzonen unterzubringen. Der
Zugang zu diesen Schutzzonen ist auf eine geschlossene Benutzergruppe zu reduzieren.
3.2.2
Audit
Die technischen und organisatorischen Schutzmaßnahmen sind regelmäßig zu überprüfen.
Die Überprüfung ist zu dokumentieren. Dabei ist in erster Linie sicherzustellen, dass die
aktuellen Maßnahmen die Sicherheitsvorgaben erfüllen. Die Vorgaben ergeben sich aus
der IT-Sicherheitsleitlinie, der vorliegenden IT-Sicherheitsrichtlinie sowie dem ITSicherheitskonzept
der Behörde. Ergänzend kann das Bayern-CERT oder ein externer
Dienstleister mit der Durchführung eines Audit beauftragt werden.
3.2.3
Wirksamkeitsprüfungen
Die Wirksamkeit der Schutzmaßnahmen muss durch regelmäßige interne und externe
Penetrationstests geprüft werden. Das Bayern-CERT ist berechtigt, solche
Wirksamkeitsprüfungen durchzuführen (vgl. BayITSiR-08).
3.2.4
Technische Überwachung
Keine Sicherheitskomponente bietet einen absoluten Schutz. Aus diesem Grund verbleibt
stets ein Restrisiko. Dies bedeutet, dass es möglich ist, eine Sicherheitskomponente durch
einen erfolgreichen Angriff zu überwinden. Ernst zu nehmende Angriffe sind über die
Protokolldateien der Sicherheitskomponenten zu erkennen. Diese sind auszuwerten. Die
Auswertung kann durch geeignete Filter- und Alarmmechanismen unterstützt werden. Die
Mechanismen und anfallenden Daten müssen mindestens arbeitstäglich überprüft und
ausgewertet werden.
3.2.5
Aktualisierung und Schwachstellenüberwachung
Alle Sicherheitskomponenten einschließlich der in der DMZ betriebenen Systeme sind
durch regelmäßige Updates auf aktuellem Stand zu halten. Die Betreiber der
Sicherheitskomponenten sind dafür verantwortlich, aktuelle Schwachstellen der
Sicherheitskomponenten zu erkennen und diese abzustellen. Durch das Einspielen der
Updates oder Patches ist mit Störungen des Betriebes zu rechnen. Es gilt das in der ITSicherheitsleitlinie
festgeschriebene Prinzip Sicherheit vor Verfügbarkeit. Die
Verantwortlichen haben ihre Aktivitäten und Prüfungen zu dokumentieren.
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206
5 von 7 04.06.2019
79
3.2.6
Reaktion auf IT-Sicherheitsvorfälle
Bei verdächtigen IT-Sicherheitsvorfällen ist der Beauftragte für IT-Sicherheit unmittelbar
und unverzüglich einzuschalten. Er arbeitet mit dem Bayern-CERT bei der Behebung des
Sicherheitsvorfalls zusammen.
[gültig ab 01.03.2006]
4.
Literatur
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI). IT Grundschutzhandbuch.
Bundesanzeiger Verlagsgesellschaft mbH. http://www.bsi.bund.de/gshb
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI). Zertifizierungen.
http://www.bsi.bund.de/zertifiz/index.htm
[3] Common Criteria Portal: http://www.commoncriteriaportal.org/products.html
[gültig ab 01.03.2006]
Anhang Stand: 01.03.2006
1. Ausgehender Verkehr in das Internet (internes Netz oder DMZ Internet)
Protokoll/Dienst Ports Einschränkungen
http 80/tcp, weitere
tcp-Ports
nur über Proxy, siehe 3.1.3
https 443/tcp, weitere
tcp-Ports
nur über Proxy, siehe 3.1.3
smtp 25/tcp nur bei eigener technischer
Verantwortung über Mail Domain
DNS 53/udp, 53/tcp keine
SSH 22/tcp nur zur Administration einzelner
Server im Internet
ftp-Download 20/tcp, 21/tcp nur über Proxy, siehe 3.1.3
ftp-Upload 20/tcp, 21/tcp nur zur Administration einzelner
Server im Internet
Telnet 23/tcp nur Zugriff auf 193.22.114.242
ISO-TSAP 102/tcp nur Zugriff auf Bayerische
Staatsbibliothek
Z39.50 31310/tcp nur Zugriff auf Rechner der
Deutschen Bibliothek
OPAC 3025/tcp nur Zugriff auf OPAC-Server
BVBCAT 2404/tcp nur Zugriff auf BVBCATBibliotheksserver
LDAP 389/tcp nur am zentralen Internetübergang,
nur Zugriff auf X.500-Verzeichnis
des Bundes
ntp 123/udp nur am zentralen Internetübergang,
nur Zugriff auf Zeitserver von BT
Genolite 866/tcp nur Zugriff auf Banken-Server
HBCI 3000/tcp nur Zugriff auf Banken-Server
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206
6 von 7 04.06.2019
80
Gewan 1601/tcp,
7869/tcp
nur Zugriff auf Gewan-Server
Elster 8000/tcp nur Zugriff auf Elster-Server
Weatherimage 6001/tcp,
8081/tcp
nur Zugriff auf Weatherimage-
Server
Niederschlagsmessnetz 9094/tcp nur am zentralen Internetübergang,
eingeschränkter Benutzerkreis, nur
Zugriff auf Niederschlagsmessnetz-
Server
Echo Request ICMP Typ 8 nur ausgehende Pings
ICMP-Fehlernachrichten ICMP nur aus der DMZ, nur einzelne
Fehlercodes
2. Eingehender Verkehr in eine DMZ (Internet DMZ)
Protokoll/Dienst Ports Einschränkungen
smtp 25/tcp nur bei eigener
technischer
Verantwortung
über Domain,
siehe 3.1.3
dns 53/udp, 53/tcp nur bei eigener
technischer
Verantwortung
über Domain,
siehe 3.1.3
http 80/tcp, andere tcp-Ports keine
https 443/tcp, andere tcp-Ports keine
HITP 2222/tcp 2225/tcp,
andere tcp-Ports
nur Zugriff auf
einzelne Server
sftp, scp 22/tcp nur Datei-Upload,
nur Zugriff von
einzelnen
Systemen
IPsec 500/udp, 50/ip, 51/ip, 57/ip keine
Echo Reply ICMP Typ 0 nur ausgehende
Pings
ICMPFehlernachrichten
ICMP nur einzelne
Fehlercodes
3. Zertifizierungen
Für eine Firewallkomponente muss bei der CC-EAL-Zertifizierung ein Schutzprofil mit
mindestens gleichwertigen Vorgaben wie die des Traffic-Filter Firewall Protection Profile For
Medium Robustness Environments, Version 1.1 verwendet werden. (siehe
http://www.commoncriteriaportal.org/pp_BP.html#BP oder http://www.niapccevs.
org/cc%2Dscheme/pp/)
[gültig ab 01.03.2006]
Text gilt seit 01.03.2006
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 23 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_206
7 von 7 04.06.2019
81
BayITSiR-06 [BayITSiR-06 Fernwartung
und externe Anwendungen]
Text gilt seit 01.01.2005 Bayern
2003.4-F
IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung
Fernwartung und externe Anwendungen[1]
BayITSiR-06
Schreiben des Bayerischen Staatsministeriums des Innern
Stand: 1. Januar 2005, Az. IZ7-1074.74-74
[1]Fortgeltung ab 1.1.2016 gem. Ministerratsbeschluss v. 31.5.2016.
1.
Einleitung
Grundlage dieser IT-Sicherheitsrichtlinie für Fernwartung und externe Anwendungen ist
die IT-Sicherheitsleitlinie (BayITSiLL) sowie die IT-Sicherheitsrahmenrichtlinie für
BayKom-Daten (BayITSiR-GL).
Bei externen Anwendungen im Sinne dieser Richtlinie werden Serverdienste von
Mitgliedern der Teilnehmergruppe 3 (vgl. BayITSiR-GL) in deren Netz den Mitgliedern der
Teilnehmergruppen 1 und 2 zur Verfügung gestellt.
Es sind nur die unter Abschnitt 2 aufgeführten Zugangsmöglichkeiten zulässig.
[gültig ab 01.01.2005]
2.
Erläuterungen
2.1
Zugangsmöglichkeiten
Fernwartung und Zugang zu externen Anwendungen kann im Rahmen des Bayerischen
Behördennetzes über unterschiedliche Wege realisiert werden.
2.1.1
Regelzugang
Der Dienstleister wird über den Netzprovider und das Extranet-/Dienstleister-VPN in das
Bayerische Behördennetz integriert. Die konkreten Regelungen finden sich in der Richtlinie
für das Extranet-/Dienstleister-VPN (BayITSiR-09).
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 25 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_210
1 von 3 04.06.2019
82
2.1.2
Ausnahmefälle
In begründeten Ausnahmefällen kann der Zugang auf folgenden Wegen realisiert werden:
a) Wählverbindungen
Zentrale Einwahl Zentrale Einwahllösung zum Behördennetz.
Dezentrale Einwahl Eigene Einwahllösung der Behörde.
On-Demand Der Dienstleister, der die Fernwartung anbietet, wird über ein
Modem, das mit dem zu wartenden System seriell verbunden ist, vermittelt.
Es ist die Sicherheitsrichtlinie für Wählverbindungen (BayITSiR-10) zu beachten.
b) IP-VPN
Der Zugang erfolgt über einen sicheren Tunnel über das Internet. Es ist die
Sicherheitsrichtlinie für IP-VPNs (BayITSiR-04) zu beachten.
2.2
Schutzbedarf
Bei der Fernwartung und bei der Nutzung externer Anwendungen besteht keine Kontrolle
über die eingesetzten Endsysteme. Deshalb sind in der Regel nur organisatorische
Schutzmaßnahmen zur Einhaltung des Sicherheitsniveaus möglich. Häufig sind diese
Zugänge schlecht dokumentiert. Ein vergessener oder unbeaufsichtigter
Fernwartungszugang kann zur Korruption eines Systems oder eines ganzen Netzes führen.
[gültig ab 01.01.2005]
3.
Regelungen
Um ein einheitlich hohes Sicherheitsniveau im Bayerischen Behördennetz halten zu
können, sind die folgenden Regelungen für alle Zugänge verpflichtend.
3.1
Organisatorische Schutzmaßnahmen
3.1.1
Minimierung
Die Zahl der begründeten Ausnahmefälle für die Zugänge muss auf ein absolutes Minimum
beschränkt werden.
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 25 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_210
2 von 3 04.06.2019
83
3.1.2
Dokumentation
Die Zugänge sind zu dokumentieren. Aus der Dokumentation müssen mindestens der
Nutzer des Zugangs und die frei geschalteten Verbindungen hervorgehen.
3.1.3
Audit
Die technischen und organisatorischen Schutzmaßnahmen sind regelmäßig zu überprüfen.
Die Überprüfung ist zu dokumentieren. Dabei ist in erster Linie sicherzustellen, dass die
aktuellen Maßnahmen die Sicherheitsvorgaben erfüllen. Die Vorgaben ergeben sich aus
der IT-Sicherheitsleitlinie, der vorliegenden IT-Sicherheitsrichtlinie sowie dem ITSicherheitskonzept
der Behörde. Ergänzend kann das Bayern-CERT oder ein externer
Dienstleister mit der Durchführung eines Audit beauftragt werden.
3.1.4
Reaktion auf IT-Sicherheitsvorfälle
Bei verdächtigen IT-Sicherheitsvorfällen ist der Beauftragte für IT-Sicherheit unmittelbar
und unverzüglich einzuschalten. Er arbeitet mit dem Bayern-CERT bei der Behebung des
Sicherheitsvorfalls zusammen.
3.1.5
Löschung nicht mehr benötigter Accounts
Wird ein Zugang nicht mehr benötigt, sind die zugehörigen Freigaben und/oder der
zugehörige Account vom zuständigen Betreiber zeitnah zu löschen.
[gültig ab 01.01.2005]
Text gilt seit 01.01.2005
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 25 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_210
3 von 3 04.06.2019
84
BayITSiR-09 [BayITSiR-09 Extranet-
/Dienstleister-VPN]
Text gilt seit 01.01.2005 Bayern
2003.4-F
IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung
Extranet-/Dienstleister-VPN[1]
BayITSiR-09
Schreiben des Bayerischen Staatsministeriums des Innern
Stand: 1. Januar 2005, Az. IZ7-1074.74-74
[1]Fortgeltung ab 1.1.2016 gem. Ministerratsbeschluss v. 31.5.2016.
1.
Einleitung
Grundlage dieser IT-Sicherheitsrichtlinie für das Extranet-/Dienstleister-VPN ist die ITSicherheitsleitlinie
(BayITSiLL) sowie die IT-Sicherheitsrahmenrichtlinie für BayKom-Daten
(BayITSiR-GL).
Die vorliegende IT-Sicherheitsrichtlinie regelt den Zugang von Dritten (Dienstleistern) zum
Bayerischen Behördennetz, soweit sie nicht den Teilnehmergruppen 1 oder 2 (vgl.
BayITSiR-GL) zugeordnet werden können. Die Dienstleistung muss für Teilnehmer aus den
Teilnehmergruppen 1 oder 2 erbracht werden.
Ziel ist es, die Zugangswege für das Tätigwerden von Dienstleistern im Bayerischen
Behördennetz zu konsolidieren (vor allem in den IT-administrativen Bereichen wie z.B.
Fernwartung, proaktives Management und Überwachung der Systeme) und dadurch auch
diese Dienste den Behörden über deren Behördennetzanschluss zur Verfügung zu stellen.
Eigene Einrichtungen zur Absicherung derartiger externer Zugänge werden entbehrlich
(zentrale Sicherheitsinstanz). Außerdem sollen zentrale Übergänge zu anderen Netzen
oder Anwendungen soweit möglich und sinnvoll ebenfalls über dieses VPN realisiert
werden.
[gültig ab 01.01.2005]
2.
Erläuterungen
2.1
Begriffsdefinitionen
Dienstleister im Sinne dieser Richtlinie sind Institutionen und Unternehmen, die für Stellen
aus den Teilnehmergruppen 1 oder 2 (vgl. BayITSiR-GL) auf deren Veranlassung
Dienstleistungen erbringen. Die zu erbringenden Leistungen dürfen nicht nur
vorübergehender Art sein.
Als Dienstleistungen werden dabei definiert:
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 26 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_213
1 von 5 04.06.2019
85
IT-Dienstleistungen im weitesten Sinne, auch soweit sie die Bereitstellung von
Anwendungen mit Bezug zum Bayerischen Behördennetz umfassen.
Sonstige Dienstleistungen, zu deren Erbringung der Anschluss am Bayerischen
Behördennetz zwingende Voraussetzung ist. Bei der Einzelfallprüfung wird ein
strenger Maßstab angelegt.
2.2
Schutzbedarf
Auf die IT-Sicherheitspolitik der Teilnehmer am Extranet-/Dienstleister-VPN kann nicht
oder nur bedingt Einfluss genommen werden. Dies mindert das Sicherheitsniveau im
Extranet-/Dienstleister-VPN aus Sicht des Bayerischen Behördennetzes.
[gültig ab 01.01.2005]
3.
Regelungen
3.1
Verfahren
3.1.1
Zulassung eines Dienstleisters Vereinbarung 1
Für die Teilnahme eines Dienstleisters am Extranet-/Dienstleister-VPN ist eine Zulassung
durch das Bayerische Staatsministerium des Innern (StMI) bzw. durch eine von ihm
beauftragte Stelle erforderlich. Die Initiative für die Zulassung kann nur von Behörden
ausgehen, die den Teilnehmergruppen 1 oder 2 (vgl. BayITSiR-GL) angehören und über
einen Anschluss an das Bayerische Behördennetz verfügen. Abweichend hiervon kann die
genehmigende Stelle auch ohne Meldung einer Behörde zentral eine Zulassung von
Dienstleistern ermöglichen (Bestandsfälle, Massendienstleister).
Der Dienstleister muss im Rahmen eines bestehenden oder neu zu schließenden Vertrages
oder aufgrund ihm übertragener hoheitlicher Aufgaben für die meldende Behörde tätig
werden. Für die Zulassung sind der genehmigenden Stelle folgende Unterlagen
vorzulegen:
eine vom Dienstleister unterschriebene Erklärung zur Einhaltung der unter Nr. 3.2
genannten Vorschriften (Vereinbarung 1, siehe Graphik unter Nr. 3.1.6)
eine vom Dienstleister und der Behörde unterschriebene Erklärung über die
benötigten technischen Freigaben (technisches Formblatt)
einen vom Dienstleister unterschriebenen Anschlussauftrag für den Netzprovider.
Hat der Dienstleister bereits über das Extranet-/Dienstleister-VPN Zugang zum
Bayerischen Behördennetz, ist der für die Genehmigung zuständigen Stelle lediglich die
vom Dienstleister und der Behörde unterschriebene Erklärung über die benötigten
technischen Freigaben (technisches Formblatt) vorzulegen.
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 26 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_213
2 von 5 04.06.2019
86
Die für die Genehmigung zuständige Stelle informiert den Dienstleister und die betroffene
Behörde über das Prüfungsergebnis.
3.1.2
Änderungsmitteilung
Die Stelle, für die die Dienstleistung erbracht werden soll, zeigt Änderungen der
Dienstleistung (Art und Umfang) bei der für die Genehmigung zuständigen Stelle an.
Wird eine Dienstleistung eingestellt, so ist dies der für die Genehmigung zuständigen
Stelle ebenfalls von der Behörde, für die die Dienstleistung erbracht wurde, anzuzeigen.
3.1.3
Vereinbarung zwischen Dienstleister und Behörde Vereinbarung 2
Es wird empfohlen, zwischen der Behörde und dem Dienstleister eine
Dienstleistungsvereinbarung abzuschließen.
3.1.4
Vertrag zwischen Dienstleister und Behördennetzprovider
Nach Zulassung wird der Anschlussauftrag von der genehmigenden Stelle an den
Behördennetzprovider weitergeleitet.
3.1.5
Dienstleistungen für Gemeinden, Verwaltungsgemeinschaften und
Zweckverbände
Sollen Dienstleister für nicht anschlussberechtigte Teilnehmer der Teilnehmergruppe 2
(Gemeinden, Verwaltungsgemeinschaften, Zweckverbände) im Rahmen kommunaler
Behördennetze (KommBN) tätig werden, so bleibt es für die Zulassung eines Dienstleisters
beim beschriebenen Verfahren mit folgender Maßgabe:
Die Meldung erfolgt ebenfalls durch die zuständige Kreisverwaltungsbehörde, die insoweit
für ihre Teilnehmer am KommBN tätig wird.
3.1.6
Struktur der Beziehungen (beteiligte Stellen)
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 26 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_213
3 von 5 04.06.2019
87
3.1.7
Zentrale Übergänge
Werden zentrale Übergänge zu anderen Netzen über das Extranet-/Dienstleister-VPN
realisiert, so entfällt das Zulassungsverfahren. Die Beauftragung eines zentralen
Übergangs erfolgt unter Beteiligung des Bayern-CERT direkt durch die zuständige
Dienststelle eines Teilnehmers aus der Teilnehmergruppe 1.
3.2
Einzuhaltende Vorschriften
Der Dienstleister hat sich in der Vereinbarung gegenüber dem Freistaat Bayern zur
Einhaltung der Inhalte
dieser Richtlinie (BayITSiR-09)
der IT-Sicherheitsrichtlinie für Fernwartung und externe Anwendungen (BayITSiR-
06)
der IT-Sicherheitsrahmenrichtlinie für BayKom-Daten (BayITSiR-GL)
der IT-Sicherheitsleitlinie für die bayerische Staatsverwaltung (BayITSiLL)
zu verpflichten. Die Pflicht zur Einhaltung weiterer gesetzlicher Vorschriften (z.B.
datenschutzrechtliche Regelungen), bleibt hiervon unberührt.
Verstöße können zum Ausschluss des Dienstleisters aus dem Extranet-/Dienstleister-VPN
führen.
3.3
Umfang der Zugangsberechtigung
In jedem Falle werden für Dienstleister die Nutzungsmöglichkeiten im Bayerischen
Behördennetz auf das unbedingt erforderliche Ausmaß beschränkt.
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 26 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_213
4 von 5 04.06.2019
88
[gültig ab 01.01.2005]
Text gilt seit 01.01.2005
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 26 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_213
5 von 5 04.06.2019
89
BayITSiR-GL [BayITSiR-GL ITSicherheitsrahmenrichtlinie
für BayKom-
Daten]
Text gilt seit
01.12.2007
Bayern
2003.4-F
IT-Sicherheitsrichtlinien für die bayerische Staatsverwaltung
IT-Sicherheitsrahmenrichtlinie für BayKom-Daten[1]
BayITSiR-GL
Schreiben des Bayerischen Staatsministeriums des Innern
Stand: 1. Dezember 2007, Az. IZ7-1074.74-74
Anlage 1 Dokumente zur IT-Sicherheit (Stand: 01.12.2007)
Anlage 2 Glossar (Stand: 01.01.2005)
[1]Fortgeltung ab 1.1.2016 gem. Ministerratsbeschluss v. 31.5.2016.
1.
Einleitung
Gemäß Nr. 1, Nr. 5.2 und Nr. 6 der IT-Sicherheitsleitlinie für die bayerische
Staatsverwaltung vom 1. Januar 2007 sind detaillierte und diese konkretisierende ITSicherheitsrichtlinien
für alle sicherheitsrelevanten Themengebiete zu erstellen. Die
vorliegende IT-Sicherheitsrahmenrichtlinie für die bayerische Staatsverwaltung (BayITSiRGL)
ist das Grundlagendokument, auf das die IT-Sicherheitsrichtlinien,
Sicherheitskonzepte und Sicherheitsregeln Bezug nehmen.
Die Struktur des gesamten Sicherheitsregelwerks stellt sich wie folgt dar:
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
1 von 11 04.06.2019
90
[gültig ab 01.12.2007]
2.
Grundsätze der IT-Sicherheitsdokumente
2.1
Grundlage
Grundlage für die IT-Sicherheitsdokumente ist die IT-Sicherheitsleitlinie (BayITSiLL). Sie
macht Vorgaben zu den folgenden Bereichen:
Zielgruppe und Geltungsbereich
IT-Sicherheitsziele
Prinzipien der IT-Sicherheit
IT-Sicherheitsorganisation
IT-Sicherheitsprozess
Durchsetzung
Sicherheitsdokumentation
Im Rahmen des in der IT-Sicherheitsleitlinie definierten IT-Sicherheitsprozesses sind
detaillierte Sicherheitsrichtlinien zu erarbeiten.
Eine Übersicht aller Dokumente zur IT-Sicherheit findet sich in der Anlage 1.
2.2
Dokumentenkontrolle
Die Dokumente zur IT-Sicherheit unterliegen einer Dokumentenkontrolle. Sie werden
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
2 von 11 04.06.2019
91
im Intranet des Bayerischen Behördennetzes veröffentlicht, soweit sie von
allgemeiner Bedeutung sind,
im Rahmen der technischen Weiterentwicklung des Behördennetzes laufend
fortgeschrieben,
bei Ungültigkeit unverzüglich widerrufen und
aufbewahrt, um für rechtliche Zwecke oder für Zwecke der Wissenserhaltung
verfügbar zu sein.
[gültig ab 01.12.2007]
3.
Teilnehmer- und Netzstrukturen des Behördennetzes
3.1
Erläuterung
Zur Abgrenzung der unterschiedlichen Aufgabenstellungen bzw. Zuständigkeiten der
Teilnehmer am Behördennetz erfolgt eine Einteilung in Teilnehmergruppen (TG).
An diesen orientiert sich die logische Struktur des Behördennetzes, die Untergliederung
des Bayerischen Behördennetzes in unterschiedliche Virtuelle Private Netze (VPN) und die
Koppelung dieser VPN über eine zentrale Sicherheitsinstanz (vgl. BayITSiR-01).
3.2
Definition von Teilnehmergruppen (TG)
Es werden folgende Teilnehmergruppen definiert:
Teilnehmergruppen Erläuterung
TG 1 Staatliche Behörden, unmittelbare Landesverwaltung
TG 2 Kommunaler Bereich: Kreisverwaltungsbehörden (KVB), Bezirke,
kommunale Spitzenverbände, Gemeinden,
Verwaltungsgemeinschaften, Zweckverbände1
TG 3 Diese Teilnehmergruppe umfasst alle sonstigen Teilnehmer am
Bayerischen Behördennetz und die Übergänge zu anderen Netzen
und deren Dienste.
Der Zugang zum Bayerischen Behördennetz kann erst nach einer
Berechtigungsprüfung im Einzelfall erfolgen, vgl. auch BayITSiR-
09.
3.3
Bildung von Virtuellen Privaten Netzen
Auf Grundlage der Teilnehmergruppen werden folgende VPN gebildet:
Staatliches VPN
Kommunales VPN
Extranet-/Dienstleister-VPN
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
3 von 11 04.06.2019
92
Die Zugehörigkeit zu einem VPN richtet sich immer nach der Zugehörigkeit zu einer
Teilnehmergruppe (siehe unten) und niemals nach der Art des Zugangs (z.B. Einwahl).
3.3.1
Staatliche VPN
Innerhalb des Staatlichen VPN sind darüber hinaus noch weitere fachliche, technische und
sicherheitsrelevante Konstellationen zu berücksichtigen:
a) Fachliche Zuordnung
Dienststellen aus den Bereichen Justiz, Polizei und Steuerverwaltung sind jeweils
einem eigenen VPN zugeordnet.
b) Inanspruchnahme weiterer Netzprovider
Bei Inanspruchnahme eines weiteren Providers ist vonseiten des auftraggebenden
Teilnehmers sicherzustellen, dass das vom Provider zur Verfügung gestellte Netz nur
von Teilnehmern der TG 1 genutzt werden kann.
c) Betrieb eines eigenen Internetzugangs (bzw. weiterer Netzübergänge)
Soweit sich die Zuordnung einer staatlichen Behörde zu einem VPN nicht aus der
fachlichen Zuordnung ergibt und der Betrieb eines eigenen Internetzugangs in
begründeten Ausnahmefällen unabdingbar ist, wird diese Behörde für den
Gültigkeitszeitraum der Ausnahme dem Staatlichen Neben-VPN zugeordnet. Durch
die Zuordnung zum Staatlichen Neben-VPN wird die generelle Any-to-Any-
Kommunikation im staatlichen Bereich für Behörden mit eigenem Internetzugang
eingeschränkt, weil sämtlicher Verkehr vom und zum Neben-VPN über die
Sicherheitsinstanz geleitet wird.
Das Staatliche VPN der TG 1 untergliedert sich somit in:
Polizei-VPN
Justiz-VPN
Steuer-VPN
Staatliches Haupt-VPN
Staatliches Neben-VPN
3.3.2
Kommunales VPN
Nur die Kreisverwaltungsbehörden, die Bezirke sowie die kommunalen Spitzenverbände
werden unmittelbar über das Kommunale VPN an das Behördennetz angeschlossen. Die
Landratsämter ermöglichen allen übrigen Teilnehmern der TG 2 im Rahmen von
Kommunalen Behördennetzen (KommBN) die Teilnahme am Behördennetz.
Auch im Kommunalen VPN sind die sicherheitsrelevanten Konstellationen (Betrieb eines
eigenen Internetzugangs, Inanspruchnahme eines weiteren Providers) vorzufinden.
Im Kommunalen VPN gilt der Grundsatz einer Any-to-Any-Kommunikation. Dieser kann
durch die Einrichtung einer standardisierten Access Control List (ACL) auf dem
Zugangsrouter zum Behördennetz eingeschränkt werden. Dadurch sind nur
Kommunikationsverbindungen möglich, die über die Sicherheitsinstanz verlaufen.
3.3.3
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
4 von 11 04.06.2019
93
Extranet-/Dienstleister-VPN
Auf Initiative eines Teilnehmers aus TG 1 oder TG 2 können auch weitere Institutionen
Anschluss an das Behördennetz erhalten. Sie erhalten den Zugang über das Extranet-
/Dienstleister-VPN. Die Detailregelungen finden sich in der IT-Sicherheitsrichtlinie
BayITSiR-09.
3.3.4
Logische Netztopologie
Es ergibt sich somit die folgende logische Netztopologie:
Eine detaillierte Beschreibung der Netztopologie findet sich in der IT-Sicherheitsrichtlinie
BayITSiR-01 Koppelung der VPN.
1[Amtl. Anm.:] Gemeinden, Verwaltungsgemeinschaften und Zweckverbände können beim
Provider keinen eigenen Zugang zum Bayerischen Behördennetz beantragen. Sie werden
ausschließlich über eine KVB angeschlossen.
[gültig ab 01.12.2007]
4.
Verbindlichkeit
Um ein einheitlich hohes Sicherheitsniveau im Bayerischen Behördennetz halten zu
können, sind die IT-Sicherheitsrichtlinien verpflichtend. Insbesondere gelten diese
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
5 von 11 04.06.2019
94
Regelungen für die am Kommunalen VPN angeschlossene Teilnehmergruppe 2. Eine KVB
kann ihren zugehörigen Kommunen, Verwaltungsgemeinschaften (VG) und Einrichtungen
einen Zugang zum Bayerischen Behördennetz ermöglichen. Diese Kommunen, VG und
Einrichtungen bilden zusammen mit der KVB ein Kommunales Behördennetz (KommBN).
Die KVB hat in diesem Fall sicherzustellen, dass die IT-Sicherheitsrichtlinien im KommBN
entsprechend zur Anwendung kommen.
[gültig ab 01.12.2007]
Anlage 1 Dokumente zur IT-Sicherheit
(Stand: 01.12.2007)
Grundlagendokumente zur IT-Sicherheit
BayITSiLL: IT-Sicherheitsleitlinie für die bayerische Staatsverwaltung (Stand: 01.01.2007)
BayITSiR-O: Richtlinie zur IT-Sicherheitsorganisation der bayerischen Staatsverwaltung
(Stand: 01.01.2007)
BayITSi-GO: Geschäftsordnung für das Sicherheitsteam der bayerischen Staatsverwaltung
(Stand: 01.01.2007)
BayITSiR-GL: IT-Sicherheitsrahmenrichtlinie für BayKom-Daten (Stand: 01.12.2007)
IT-Sicherheitsrichtlinien für BayKom-Daten
BayITSiR-01: Koppelung der VPN (Stand: 01.01.2005)
BayITSiR-02: Betrieb eines Übergangs in das Internet (Stand: 01.03.2006)
BayITSiR-03: Einsatz drahtloser Netze (Stand: 01.07.2005)
BayITSiR-04: Betrieb von IP-basierenden Virtuellen Privaten Netzen (IP-VPN) (Stand:
01.03.2006)
BayITSiR-05: Telearbeits- und mobile Arbeitsplätze (Stand: 01.01.2005)
BayITSiR-06: Fernwartung und externe Anwendungen (Stand: 01.01.2005)
BayITSiR-07: Einsatz mobiler Geräte (Stand: 01.01.2005)
BayITSiR-08: Durchführung von Penetrationstests (Stand: 01.01.2005)
BayITSiR-09: Extranet-/Dienstleister-VPN (Stand: 01.01.2005)
BayITSiR-10: Sicherheitsrichtlinie für Wählverbindungen im Bayerischen Behördennetz
(Stand: 01.05.2004)
BayITSiR-11: Nutzung von Anwendungen über das Internet unter Verwendung von SSL/TSL
(Stand: 04.10.2006)
BayITSiR-12: E-Mail-Verkehr im BYBN (Stand 01.12.2007)
Sicherheitskonzepte
BayITSiK-01: Aufbau und Betrieb Kommunaler Behördennetze (KommBN) (Stand:
01.01.2005)
Sicherheitsregeln für den einzelnen Geschäftsprozess
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
6 von 11 04.06.2019
95
BayITSR-xx:
[gültig ab 01.12.2007]
Anlage 2 Glossar
(Stand: 01.01.2005)
Account (Benutzerkonto): In einem Benutzerkonto werden alle Informationen zur
Benutzerkennung zusammengefasst. Dazu zählen unter anderem der für die Anmeldung
erforderliche Benutzername und das Kennwort, die Gruppen, denen der Benutzer angehört, sowie
die Rechte des Benutzers.
AH (Authentication Header): Bei Kommunikationsprotokollen Element von Übertragungsrahmen
(Paketen, Datagrammen, Frames usw.) mit Steuernachrichten für die Abwicklung der
Authentifikation. Beispiel: Authentication Header in den Protokollspezifikationen der IETFArbeitsgruppe
IPSec.
Audit: Prüfung eines Systems durch unabhängige Fachleute.
Authentizität: Echtheit, Zuverlässigkeit, Glaubwürdigkeit, Gesichertheit.
Authentifizierung: Auch als Authentifikation bezeichnet. Allgemein für Verifizierungsverfahren zur
Sicherstellung der Authentizität einer Person (Teilnehmer, Benutzer), einer Nachricht oder einer
Einrichtung (z.B. Server).
Bayerisches Behördennetz: IT-gestützte Kommunikationsinfrastruktur für die bayerische Staatsund
Kommunalverwaltung.
BayKom: Bayerische Kommunikationsnetze (Netzinfrastruktur für Sprach-, Mobilfunk-, Daten- und
Internet-Kommunikation).
BayKom-Daten: Datennetz der Bayerischen Kommunikationsnetze.
BayKom-Internet: Internetanschlüsse über den Behördennetzprovider.
Common Criteria (CC): Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit der
Informationstechnik. Sie beschreiben abstrakt die Anforderungen, nach denen Produkten in einer
Hierarchie von Vertrauenswürdigkeitsstufen das Sicherheitsniveau zertifiziert werden kann. Diese
Evaluation Assurance Levels (EAL) erstrecken sich von EAL 1 (einfache Tests) bis EAL 7 (formallogisch
verifizierte Hochsicherheitslösung). Die Common Criteria sind als Fortentwicklung von
ITSEC (Europa) und TCSEC (USA) in die veröffentlichte Norm ISO/IEC 15408 eingegangen und
sollen die internationale Vergleichbarkeit der Zertifizierung von Produkten und Systemen auf dem
Weltmarkt sicherstellen.
CERT (Computer Emergency Response Team): Computer Notfall- und Aktionsteam.
Daten: Hierunter fallen alle Informationen, die auf IT-Systemen oder Speichermedien gespeichert
oder verarbeitet werden.
DMZ (Demilitarized Zone): Demilitarisierte Zone ist ein Schlagwort für ein Netzsegment, das als
neutrale Zone zwischen dem internen Netz eines Unternehmens und dem äußeren öffentlichen
Netz eingerichtet wird. Dadurch soll verhindert werden, dass Benutzer von außen direkt auf einen
Server mit Unternehmensdaten zugreifen können. Perimeter Network (Grenznetz) ist eine
weitere oft verwendete Bezeichnung für die DMZ. Man unterscheidet zwei Varianten: Die DMZ ist
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
7 von 11 04.06.2019
96
entweder ein Netzwerksegment zwischen zwei hintereinander liegenden Firewalls oder über ein
dezidiertes Interface an einer Firewall angeschlossen.
DNS (Domain Name System): Ein spezieller Verzeichnisdienst, der für die Benennung von
Objekten in vernetzten Systemen entworfen wurde. Im Internet dient das DNS zur Verwaltung von
Rechnernamen und Mailadressen.
ESP-Verfahren (Encapsulating Security Payload): In den Protokollspezifikationen der IETFArbeitsgruppe
IPSec für getunnelte Übertragungen über IP-Netze Paketkomponente mit Aufgaben
im Rahmen der Verschlüsselung von Nutzdaten vorgesehen.
Extranet: Ein Extranet definiert den Informationsaustausch zwischen Intranets und Partnern über
ein privates oder öffentliches Netz (TCP/IP-basierend).
Fernwartung: Die Fernwartung ist ein System zur Wartung räumlich entfernt stehender Rechner.
Die Verbindung zum fernen Computer wird üblicherweise über PC/Modem und das öffentliche
Telefonnetz aufgebaut. Auch eine Fernwartung über Funkstrecken und das Internet ist möglich.
FIPS 140-2: Vom NIST (National Institute of Standards and Technology, USA) werden die Federal
Information Processing Standards (FIPS) für den gesamten amerikanischen Regierungsbereich
herausgegeben, wenn von der Bundesregierung zwingende Anforderungen zum Beispiel für
Sicherheit und Interoperabilität bestehen und keine akzeptablen Industriestandards oder Lösungen
verfügbar sind. FIPS 140-2 erstreckt sich auf die Anforderungen an Kryptomodule in
Sicherheitssystemen zur Sicherung von sensitiven Informationen.
FTP: Das File Transfer Protocol (RFC 959) wird benötigt, um Daten zwischen unterschiedlichen
Betriebssystemen zu transferieren (z.B. UNIX, Windows). Mit FTP können sowohl zeichencodierte
als auch binäre Dateien übertragen werden.
HTTP (Hypertext Transfer Protocol): Im World Wide Web (Web) das am häufigsten verwendete
Kommunikationsprotokoll. Das HTTP wird zur Übertragung von HTML-Seiten (Hypertext Markup
Language) zwischen Browsern, Programmen mit grafischer Oberfläche zum Betrachten der
Webseiten und Webservern benutzt.
IEC (International Electronics Commission): Internationales Standardisierungsgremium auf allen
Gebieten der Elektrotechnik und Elektronik.
IEEE (Institute of Electrical and Electronics Engineers): Gremium, das Internet-Standards
verabschiedet.
IETF (Internet Engineering Task Force): Gremium, das Internet-Standards verabschiedet.
Integrität: Die physische und logische Abgeschlossenheit von Informationssystemen zum Schutz
vor unberechtigter Veränderung oder der unberechtigten Erstellung von Informationen.
Internet: Abgeleitet von engl. international (international) und network (Netz). Globales, dezentral
organisiertes und strukturiertes Rechnernetz mit einheitlichem Adressierungsschema, das heute
weltweit mit hohen Zuwachsraten über 300 Mio. Benutzer miteinander verbindet und neben dem
ausgebauten Telefonsystem die wichtigste Basisinfrastruktur für den internationalen elektronischen
Austausch von Informationen darstellt.
Intranet: Ein Intranet ist ein lokales Netzwerk (LAN), das auf dem Internet-Protokoll TCP/IP
beruht. Ein Intranet wird vorwiegend nicht öffentlich in Firmen und Verwaltungen genutzt.
IP: Das Internet Protocol (IP) ist das wichtigste Protokoll (RFC 791) der TCP/IP-Protokollfamilie der
Internetschicht (entsprechend Schicht 3 des OSI-Referenzmodells) mit Funktionen zur Leitwegund
Flusskontrolle.
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
8 von 11 04.06.2019
97
IPSec (IP Security Protokoll): Hilfsmittel, das es erlaubt, über ein Netzwerk auf andere
Computer/Netze gesichert zuzugreifen, unter Verwendung kryptografischer Mechanismen.
ISO (International Standard Organization): Die Internationale Organisation für Standardisierung.
ITSEC (Information Technique System Evaluation Criteria): Sicherheitskriterien zur Bewertung von
IT-Systemen; Richtlinie, die 1991 die deutschen ITS-Kriterien ablöste. ITSEC gilt in mehreren
europäischen Staaten zur Prüfung von Hardware und Software.
KoAIuK: Ressortübergreifender Koordinierungssausschuss für grundsätzliche und
geschäftsübergreifende Angelegenheiten der Informations- und Kommunikationstechnik (IuK) (Art.
6 IuKG).
KommBN (Kommunale Behördennetze): Landkreisextranets bestehend aus den Gemeinden,
Städten, Verwaltungsgemeinschaften sowie deren Zusammenschlüssen (z.B. Zweckverbände).
NETBIOS (Network Basic Input/Output System): Von IBM 1984 eingeführte, hardwareunabhängige
Anwendungsprogrammierschnittstelle (Application Program Interface, API), die sich über die
Schichten 3 bis 5 des OSI-Referenzmodells erstreckt. Dabei ist die Schicht 3 (Network Layer) nur
als Nullschicht implementiert, sodass Routingfunktionen nicht zur Verfügung stehen. Das
inzwischen technisch überholte NetBIOS eine Weiterentwicklung von NetBIOS ist das NetBEUI
(NetBIOS Extended User Interface) stellt für ein Telekommunikationsnetz dieselben
grundlegenden Funktionen zur Verfügung wie das BIOS (Basic Input Output System) für einen
Computer.
NNTP (Network News Transfer Protocol oder Network News Transport Protocol): Ein zum OSIReferenzmodell
(Open Systems Interconnection) konformes Kommunikationsprotokoll. Das auf den
Internetprotokollen IP und TCP aufbauende NNTP (RFC 977) dient der Übertragung von News-
Artikeln. Es findet häufig in lokalen Netzwerken oder Wide Area Networks (WAN), beispielsweise
bei Verbindungen zwischen Universitäten als Alternative zum UUCP (UNIX-to-UNIX Copy Program),
Verwendung.
NTP (Network Time Protocol): In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll bzw. -
dienst (RFC 1305) zur Synchronisation der Uhrzeit in den Rechnern des Internet. Das NTP ist
technisch realisiert durch synchronisierte (Coordinated universal time) Time-Server an
verschiedenen Punkten des Internet.
OSI (Open Systems Interconnection)-Referenzmodell: Auch als ISO-Modell, OSI-Architektur und
Ebenenmodell bezeichnet. Ein von der ISO (International Standard Organization) entwickelter
globaler Rahmen für die Standardisierung Offener Kommunikation zwischen kooperierenden
Systemen. Der Rahmen zerlegt, losgelöst von speziellen Implementierungen, den
Funktionskomplex Kommunikation in sieben schichtdiskrete hierarchische Teilprozesse, die in die
sieben OSI-Schichten eingebettet sind. Die in den Schichten residierenden Instanzen der
kooperierenden Systeme erbringen Kommunikationsdienste für die jeweils nächsthöhere Schicht.
Dabei stützen sie sich auf die Dienste der darunter liegenden Schichten ab. Die Bedingungen für
die schichtbezogene Kooperation unter den verbundenen Systemen reglementiert das
Schichtenprotokoll.
Penetration: Versuch der Umgehung der Sicherheitsfunktionen eines IT-Systems.
Penetrationstest: In der Informationstechnologie (IT) und Telekommunikation (TK) ein
Sicherheitscheck, in dem IT/TK-Systeme unter Zuhilfenahme aktueller sicherheitstechnischer
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
9 von 11 04.06.2019
98
Angriffsmuster untersucht werden und somit deren Standhaftigkeit gegenüber potenziellen
Angreifern getestet werden.
POP (Point of Presence): Zugangspunkte (Access Nodes) im Internet und in den in Internet-
Technologie aufgebauten Intranets.
POP3 (Post Office Protocol): Standard zur Übermittlung von E-Mails.
Port (Schnittstelle, Anschluss): Unter Port versteht man eine Schnittstelle, mit der ein Server mit
dem Netzwerk kommuniziert. Der Port ist daher auch immer Teil der Adresse des Host-Rechners,
die aber weggelassen werden kann, wenn es sich um den Standardport handelt. Bei HTTP lautet
der Standardport 80 und wird durch einen Doppelpunkt an die Adresse angehängt.
RFC (Request for Comments): Sammlung von Empfehlungen, Artikeln und Standards (RFCStandards),
in denen netzrelevante Konventionen und allgemeine Informationen zum Internet
festgehalten sind. Als RFC sind auch die Anregungen und Verbesserungsvorschläge bezeichnet, die
die Teilnehmer des Internets beim so genannten RFC-Editor, http://www.rfc-editor.org,
einreichen. Soll ein RFC einmal zu einem Standard werden, wird er vom IAB (Internet Architecture
Board) geprüft und gegebenenfalls zum Proposed Standard (Standardvorschlag) erklärt. Sobald
genügend Erfahrungen mit dem neuen Standard gesammelt wurden frühestens aber nach einem
halben Jahr kann daraus ein Draft Standard (Standardentwurf) werden. Nach einer
angemessenen Zeit kann dann daraus wiederum ein mit einer Ordnungsnummer versehener
Internet Standard d.h. vollwertiger RFC-Standard werden, von denen bislang weit über
Tausend veröffentlicht wurden.
Sicherheit: Schutz von Informationsquellen vor unberechtigten Änderungen, Zerstörungen oder
Preisgabe unabhängig davon, ob sie absichtlich oder unabsichtlich erfolgten.
Sicherheitsinstanz: Die wesentliche Komponente einer Sicherheitsinstanz ist eine Firewall. In den
meisten Fällen muss außerdem eine DMZ eingerichtet werden. Die in der DMZ enthaltenen Server
und Proxies sind ebenfalls als Komponenten der Sicherheitsinstanz aufzufassen. Bestandteile einer
Sicherheitsinstanz können außerdem eine Virenschleuse und ähnliche Komponenten sein.
SMTP (Simple Mail Transfer Protocol): In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll
(RFC 821) für die Übermittlung elektronischer Nachrichten (E-Mail). Diese werden vom Anwender
zunächst mittels eines Mailprogramms (User Agent, UA) erzeugt und zu einem lokalen
Mitteilungstransfersystemteil (Message Transfer Agent, MTA) geschickt, der die Nachrichten mit
dem SMTP zum MTA des Zielsystems weiterleitet, wo der Empfänger sie mit seinem Mailprogramm
lesen kann.
SSH (Secure Shell): SSH stellt ein sicheres Remote-Login-Protokoll dar, dessen ursprüngliches Ziel
es war, die Berkeley Remote-Dienste (rsh, rlogin, rcp, ) zu ersetzen. Heute wird SSH u. a. als
Ersatz für Telnet eingesetzt und ermöglicht damit einen gesicherten Zugriff auf einen anderen
Rechner unter Verwendung kryptografischer Mechanismen.
SSL/TLS (Secure Socket Layer/Transport Layer Security): Hilfsmittel, das es erlaubt, über ein
Netzwerk auf andere Computer gesichert zuzugreifen, unter Verwendung kryptografischer
Mechanismen. Diese Technik kommt überwiegend für gesicherte Webverbindungen zum Einsatz.
TCSEC (Trusted Computer System Evaluation Criteria): Titel eines vom US-amerikanischen
Verteidigungsministerium (Department of Defense, DoD) im Jahr 1985 veröffentlichten
Standardisierungsdokuments mit Evaluierungskriterien für die Prüfung und Bewertung der
Sicherheit der Informationstechnik. Das Dokument, auch Orange Book genannt, spezifiziert ein
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
10 von 11 04.06.2019
99
System mit mehreren Sicherheitsstufen, die von A1 (höchste Sicherheitsstufe) bis D (niedrigste
Sicherheitsstufe) reichen und jeweils die Fähigkeit angeben, die ein Computersystem aufweisen
muss, um den Schutz der gefährdeten Daten sicherzustellen.
Telnet: In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll (RFC 854), mit dem sich der
Benutzer bei einem fernen Rechner (Host) im Internet anmelden kann (Remote Login). Telnet
realisiert eine Client-Server-Beziehung zwischen der lokalen Telnet-Software (Client) und der
fernen Software (Server), d.h. der Benutzer kann sein Terminal an seinem lokalen Rechner
benutzen, um auf einem fernen Rechner zu arbeiten. Das Terminal erscheint auf dem fernen
Rechner wie ein lokal angeschlossenes Terminal.
Telearbeit: Arbeit am Computer in der Wohnung der Mitarbeiter, online oder offline.
Topologie: Die Netztopologie ist die geometrische Ausdehnung der Netzknoten und der
physikalischen Verbindungswege zwischen ihnen und stellt somit die Struktur der
Nachbarschaftsbeziehungen und der Übertragungsmöglichkeiten in einem Netz dar. Die Topologie
wird auch als Netzstruktur oder Netzform bezeichnet.
Verfügbarkeit: Die Gewährleistung, dass berechtigte Nutzer innerhalb einer angemessenen Zeit
Zugriff auf gespeicherte Informationen erhalten und diese entsprechend ihrer Zugriffsberechtigung
weiterverarbeiten können.
Vertraulichkeit: Der Schutz von Informationen gegen unautorisierte Zugriffe von innen und außen.
VPN (Virtual Private Network): Virtuelles Privates Netz (Geschlossene Benutzergruppe) in der
Regel auf Basis von Festverbindungen (Frame Relay, ATM) oder Internet.
WLAN (Wireless Local Area Network): Allgemein für vollständig oder teilweise drahtlos aufgebautes
LAN-System (Local Area Network), das anstelle eines Kabels elektromagnetische oder optische
Funkübertragungen einsetzt. Primäre Vorteile sind die schnelle und kostengünstige Installation
sowie die leichte Ortsveränderung (ggf. sogar mobil) der Endgeräte. Standardisierungsprojekte:
IEEE (802.11).
[gültig ab 01.12.2007]
Text gilt seit 01.12.2007
Kopie von Behördennetz Bayern , abgerufen am 04.06.2019 13: 21 - Quelle: BAYERN.RECHT
ht tps: / / bayernrecht .beck.de/ Bcid/ Y-100-G-BayVV_2003_4_I _988_204
11 von 11 04.06.2019
100
Anlage Dienststellen
Dienststelle E-Mail Telefon Telefax Straße PLZ Ort
ADBV Abensberg poststelle@adbv-abe.bayern.de +49 9443 924-0 +49 9443 924-200 Aventinusplatz 6 93326 Abensberg
ADBV Aichach poststelle@adbv-aic.bayern.de +49 8251 8738-0 +49 8251 8738-50 Münchener Straße 7 86551 Aichach
ADBV Amberg poststelle@adbv-am.bayern.de +49 9621 96543-0 +49 9621 96543-20 Kirchensteig 1 92224 Amberg
ADBV Ansbach poststelle@adbv-an.bayern.de +49 981 203637-0 +49 981 203637-10 Dollmannstraße 56 91522 Ansbach
ADBV Aschaffenburg
(Hauptstelle) poststelle@adbv-ab.bayern.de +49-6021-42945-0 +49-6021-42945-70 Stengerstraße 2 63741 Aschaffenburg
ADBV Aschaffenburg
(Außenstelle
Klingenberg a.Main)
poststelle-klb@adbvab.
bayern.de +49-9372-9996-0 +49-9372-9996-48 Wilhelmstraße 90 63911 Klingenberg a.Main
ADBV Augsburg poststelle@adbv-a.bayern.de +49-821-242290-0 +49 821 242290-100 Fronhof 12 86152 Augsburg
ADBV Bad Kissingen
(Hauptstelle) poststelle@adbv-kg.bayern.de +49 971 7275-0 +49 971 7275-10 Im Luitpoldpark 1 97688 Bad Kissingen
ADBV Bad Kissingen
(Außenstelle Bad
Neustadt a.d.Saale)
poststelle-nes@adbvkg.
bayern.de +49 9771 6105-0 +49 9771 6105-66 Otto-Hahn-Straße 18 97616
Bad Neustadt
a.d.Saale
ADBV Bamberg
(Hauptstelle) poststelle@adbv-ba.bayern.de +49 951 9533-0 +49 951 9533-100 Schranne 3 96049 Bamberg
ADBV Bamberg
(Außenstelle Forchheim)
poststelle-fo@adbvba.
bayern.de +49 9191 69875-0 +49 9191 6987530 Dechant-Reuder-Straße 8 91301 Forchheim
ADBV Bayreuth poststelle@adbv-bt.bayern.de +49-921-76468-0 +49 921 76468-12 Wittelsbacherring 15 95444 Bayreuth
ADBV Cham poststelle@adbv-cha.bayern.de +49 9971 848-6 +49 9971 848-888 Ludwigstraße 23 93413 Cham
ADBV Coburg poststelle@adbv-co.bayern.de +49-9561-8047-0 +49-9561-8047-10 Wettiner Anlage 1 96450 Coburg
ADBV Dachau
(Hauptstelle) poststelle@adbv-dah.bayern.de +49 8131 376-3 +49 8131 376-450 Krankenhausstraße 9 85221 Dachau
ADBV Dachau
(Außenstelle
Fürstenfeldbruck)
poststelle-ffb@adbvdah.
bayern.de +49 8141 518-0 +49 8141 518-102 Stockmeierweg 8 82256 Fürstenfeldbruck
ADBV Dillingen
a.d.Donau poststelle@adbv-dlg.bayern.de +49 9071 5004-0 +49 9071 5004-44 Königstraße 15 89407 Dillingen a.d.Donau
ADBV Donauwörth poststelle@adbv-don.bayern.de +49 906 70588-0 +49 906 70588-500 Berger Vorstadt 16 86609 Donauwörth
ADBV Ebersberg poststelle@adbv-ebe.bayern.de +49 8092 2099-0 +49 8092 2099-160 Dr.-Wintrich-Straße 7 85560 Ebersberg
ADBV Erding poststelle@adbv-ed.bayern.de +49 8122 960-0 +49 8122 960-150 Dorfener Straße 15 85435 Erding
ADBV Erlangen poststelle@adbv-er.bayern.de +49 9131 306-0 +49 9131 306-250 Nägelsbachstraße 67 91052 Erlangen
101
Anlage Dienststellen
Dienststelle E-Mail Telefon Telefax Straße PLZ Ort
ADBV Freilassing poststelle@adbv-frls.bayern.de +49 8654 4637-0 +49 8654 4637-37 Fürstenweg 19 83395 Freilassing
ADBV Freising poststelle@adbv-fs.bayern.de +49 8161 5391-0 +49 8161 5391-50 Domberg 20 85354 Freising
ADBV Freyung
(Hauptstelle) poststelle@adbv-frg.bayern.de +49 8551 9613-0 +49 8551 9613-96 Grafenauer Straße 17 94078 Freyung
ADBV Freyung
(Außenstelle Zwiesel)
poststelle-zwi@adbvfrg.
bayern.de +49 9922 859-0 +49 9922 859-222 Dr.-Schott-Straße 63 94227 Zwiesel
ADBV Günzburg poststelle@adbv-gz.bayern.de +49 8221 3660-0 +49 8221 3660-19 Augsburger Straße 1 89312 Günzburg
ADBV Immenstadt
i.Allgäu (Hauptstelle)
poststelle@adbvimmen.
bayern.de +49 8323 8005-0 +49 8323 8005-55 Marienplatz 12 87509 Immenstadt i.Allgäu
ADBV Immenstadt
i.Allgäu (Außenstelle
Kempten (Allgäu))
poststelle-ke@adbvimmen.
bayern.de +49 831 52228-0 +49 831 52228-40 Herrenstraße 8 87439 Kempten (Allgäu)
ADBV Ingolstadt
(Hauptstelle) poststelle@adbv-in.bayern.de +49 841 9359-0 +49 841 9359-199 Rechbergstraße 8 85049 Ingolstadt
ADBV Ingolstadt
(Außenstelle Eichstätt) poststelle-ei@adbv-in.bayern.de +49 8421 9728-0 +49 8421 9728-12 Residenzplatz 4 85072 Eichstätt
ADBV Kulmbach
(Hauptstelle) poststelle@adbv-ku.bayern.de +49-9221-9072-0 +49-9221-9072-10 Georg-Hagen-Straße 17 95326 Kulmbach
ADBV Kulmbach
(Außenstelle Kronach)
poststelle-kc@adbvku.
bayern.de +49-9261-6200-0 +49-9261-6200-20 Kaulanger 1 96317 Kronach
ADBV Landau a.d.Isar
(Hauptstelle) poststelle@adbv-lan.bayern.de +49 9951 9801-0 +49 9951 9801-50 Marienplatz 5a 94405 Landau a.d.Isar
ADBV Landau a.d.Isar
(Außenstelle
Deggendorf)
poststelle-deg@adbvlan.
bayern.de +49 991 37013-0 +49 991 37013-66 Franz-Josef-Strauß-Str. 5 94469 Deggendorf
ADBV Landsberg am
Lech (Hauptstelle) poststelle@adbv-ll.bayern.de +49 8191 930-0 +49 8191 930-105 Roßmarkt 198 86899 Landsberg am Lech
ADBV Landsberg am
Lech (Außenstelle
Starnberg)
poststelle-sta@adbvll.
bayern.de +49 8151 990-0 +49 8151 990-150 Vogelanger 1 82319 Starnberg
ADBV Landshut poststelle@adbv-la.bayern.de +49 871 40472-000 +49 871 40472-100 Gestütstraße 10 84028 Landshut
ADBV Lohr a.Main poststelle@adbv-loh.bayern.de +49 9352 8794-0 +49 9352 8794-333 Erthalstraße 1 97816 Lohr a.Main
ADBV Marktoberdorf
poststelle@adbvmod.
bayern.de +49 8342 7009-0 +49 8342 7009-220 Kurfürstenstraße 19 87616 Marktoberdorf
ADBV Memmingen
(Hauptstelle) poststelle@adbv-mm.bayern.de +49 8331 9648-0 +49 8331 9648-10 Bismarckstraße 1 87700 Memmingen
102
Anlage Dienststellen
Dienststelle E-Mail Telefon Telefax Straße PLZ Ort
ADBV Memmingen
(Außenstelle
Mindelheim)
poststelle-mn@adbvmm.
bayern.de +49 8261 9917-0 +49 8261 9917-41 Memminger Straße 18 87719 Mindelheim
ADBV Miesbach poststelle@adbv-mb.bayern.de +49 8025 2826-0 +49 8025 2826-36 Münchner Straße 1 83714 Miesbach
ADBV Mühldorf a.Inn
poststelle@adbvmue.
bayern.de +49 8631 169-0 +49 8631 169-150 Stadtplatz 48 84453 Mühldorf a.Inn
ADBV München poststelle@adbv-m.bayern.de +49 89 21638-0 +49 89 21638-140 Prinzregentenstraße 5 80538 München
ADBV Nabburg
(Hauptstelle) poststelle@adbv-nab.bayern.de +49-9433-2405-0 +49-9433-2405-49 Obertor 12 92507 Nabburg
ADBV Nabburg
(Außenstelle Neunburg
vorm Wald)
poststelle-nen@adbvnab.
bayern.de +49 9672 9206-0 +49 9672 9206-33 Wassergasse 13 92431 Neunburg vorm Wald
ADBV Neumarkt i.d.OPf. poststelle@adbv-nm.bayern.de +49 9181 467-0 +49 9181 467-200 Woffenbacher Straße 32 92318 Neumarkt
i.d.OPf.
ADBV Neustadt
a.d.Aisch poststelle@adbv-nea.bayern.de +49 9161 30708-0 +49 9161 30708-60 Parkstraße 10 91413 Neustadt
ADBV Nürnberg
(Hauptstelle) poststelle@adbv-n.bayern.de +49 911 462595-0 +49 911 462595-26 Flaschenhofstraße 59 90402 Nürnberg
ADBV Nürnberg
(Außenstelle Hersbruck)
poststelle-heb@adbvn.
bayern.de +49 9151 8367-0 +49 9151 8367-66 Nikolaus-Selnecker-Platz 8 91217 Hersbruck
ADBV Pfaffenhofen
a.d.Ilm poststelle@adbv-paf.bayern.de +49 8441 891-0 +49 8441 891-222 Kellerstraße 6 85276 Pfaffenhofen a.d.Ilm
ADBV Pfarrkirchen
(Hauptstelle) poststelle@adbv-pan.bayern.de +49 8561 977-0 +49 8561 977-180 Rennbahnstraße 9 84347 Pfarrkirchen
ADBV Pfarrkirchen
(Außenstelle Simbach
a.Inn)
poststelle-sim@adbvpan.
bayern.de +49 8571 9132-0 +49 8571 9132-32 Münchner Straße 2 84359 Simbach
ADBV Regensburg
(Hauptstelle) poststelle@adbv-r.bayern.de +49-941-8102-0 +49-941-8102-200 Franziskanerplatz 10 93059 Regensburg
ADBV Regensburg
(Außenstelle Hemau)
poststelle-hem@adbvr.
bayern.de +49 9491 951-0 +49 9491 951-13 Kirchengasse 12 93155 Hemau
ADBV Rosenheim
(Hauptstelle) poststelle@adbv-ro.bayern.de +49 8031 366-0 +49 8031 366-150 Münchener Straße 23 83022 Rosenheim
ADBV Rosenheim
(Außenstelle
Wasserburg a.Inn)
poststelle-ws@adbvro.
bayern.de +49 8071 9278-0 +49 8071 9278-150 Auf der Burg 6 83512 Wasserburg a.Inn
ADBV Schwabach
(Hauptstelle) poststelle@adbv-sc.bayern.de +49 9122 1804-0 +49 9122 1804-160 Theodor-Heuss-Straße 61 91126 Schwabach
103
Anlage Dienststellen
Dienststelle E-Mail Telefon Telefax Straße PLZ Ort
ADBV Schwabach
(Außenstelle
Weißenburg i.Bay.)
poststelle-wug@adbvsc.
bayern.de +49 9141 8645-0 +49 9141 8645-68
Geheimrat-Dr.-Doerfler-Straße
53 91781 Weißenburg i.Bay.
ADBV Schweinfurt poststelle@adbv-sw.bayern.de +49 9721 20938-0 +49 9721 20938-60 Mainberger Straße 14 97422 Schweinfurt
ADBV Straubing poststelle@adbv-sr.bayern.de +49 9421 977-0 +49 9421 977-200 Wittelsbacherhöhe 3 94315 Straubing
ADBV Traunstein poststelle@adbv-ts.bayern.de +49 861 9872-0 +49 861 9872-150 Salinenstraße 4 83278 Traunstein
ADBV Vilshofen an der
Donau (Hauptstelle) poststelle@adbv-vof.bayern.de +49 8541 9607-0 +49 8541 9607-30 Kapuzinerstraße 11 94474
Vilshofen an der
Donau
ADBV Vilshofen an der
Donau (Außenstelle
Passau)
poststelle-pa@adbvvof.
bayern.de +49 851 95560-0 +49 851 95560-60 Giselastraße 14 94032 Passau
ADBV Weiden i.d.OPf.
(Hauptstelle) poststelle@adbv-wen.bayern.de +49 961 631836-0 +49 961 631836-10 Gabelsbergerstraße 2 92637 Weiden
ADBV Weiden i.d.OPf.
(Außenstelle
Tirschenreuth)
poststelle-tir@adbvwen.
bayern.de +49 9631 7043-0 +49 9631 7043-111 Mitterteicher Straße 16a 95643 Tirschenreuth
ADBV Weilheim i.OB poststelle@adbv-wm.bayern.de +49 881 986-0 +49 881 986-123 Hofstraße 21 82362 Weilheim i.OB
ADBV Wolfratshausen
(Hauptstelle) poststelle@adbv-wor.bayern.de +49 8171 81833-0 +49 8171 81833-99 Heimgartenstraße 3 82515 Wolfratshausen
ADBV Wolfratshausen
(Außenstelle Bad Tölz)
poststelle-toel@adbvwor.
bayern.de +49 8041 7893-0 +49 8041 7893-10 Bahnhofstraße 10 83646 Bad Tölz
ADBV Wunsiedel
(Hauptstelle) poststelle@adbv-wun.bayern.de +49 9232 9902-0 +49 9232 9902-22 Von-Kotzau-Straße 4 95632 Wunsiedel
ADBV Wunsiedel
(Außenstelle Hof)
poststelle-ho@adbvwun.
bayern.de +49 9281 7280-0 +49 9281 7280-38 Klostertor 1 95028 Hof
ADBV Würzburg
(Hauptstelle) poststelle@adbv-wue.bayern.de +49 931 3906-0 +49 931 3906-555 Weißenburgstraße 10 97082 Würzburg
ADBV Würzburg
(Außenstelle Kitzingen)
poststelle-kt@adbvwue.
bayern.de +49 9321 1351-0 +49 9321 1351-49 Ritterstraße 25 97318 Kitzingen
104
Projekt-Nr.:
Aktenzeichen:
Projektname:
Vereinbarung zur Auftragsverarbeitung
zwischen
und
nachfolgend Verantwortlicher
nachfolgend Auftragsverarbeiter
- beide nachfolgend gemeinsam Vertragsparteien -
wird die folgende Vereinbarung zur Auftragsverarbeitung geschlossen:
2019MRE000003
H 1620.2.1-964
Kartenzahlungsgeräte für die ÄDBV
Freistaat Bayern, vertreten durch das Landesamt für Digitalisierung, Breitband und Vermessung
105
Inhaltsverzeichnis
Inhaltsverzeichnis 2
Präambel 3
1 Anwendungsbereich 4
2 Konkretisierung des Auftragsinhalts 4
3 Verantwortlichkeit und Weisungsbefugnis 4
4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter 6
5 Technische und organisatorische Maßnahmen und deren Kontrolle 6
6 Mitteilung bei Verstößen durch den Auftragsverarbeiter 8
7 Löschung und Rückgabe von Daten 8
8 Subunternehmen 9
9 Datenschutzkontrolle 10
10 Anweisungs-, empfangs- und kontrollberechtigte Personen 10
11 Schlussbestimmungen 10
Anhang 1 11
Niederschrift über die Verpflichtungserklärung 11
Anhang 2 13
Technische und organisatorische Maßnahmen 13
1 Technische und organisatorische Sicherheitsmaßnahmen 13
2 Innerbehördliche oder innerbetriebliche Organisation des Auftragsverarbeiters 13
3 Konkretisierung der Einzelmaßnahmen 14
Anhang 3 17
Muster eines Löschungsprotokolls 17
Anhang 4 18
Liste der anweisungs-, empfangs- und kontrollberechtigte Personen 18
2
106
Präambel
Die Vertragsparteien sind mit dem Zuschlag ein Auftragsverarbeitungsverhältnis eingegangen.
Um die sich hieraus ergebenden Rechte und Pflichten gemäß den Vorgaben der europäischen
Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments
und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der
Richtlinie 95/46/EG - DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Bayerischen
Datenschutzgesetzes (BayDSG) und gegebenenfalls der Abgabenordnung (AO) zu
konkretisieren, schließen die Vertragsparteien die nachfolgende Vereinbarung.
3
107
1 Anwendungsbereich
Die Vereinbarung findet Anwendung auf die Verarbeitung aller personenbezogener Daten
(im Folgenden: Daten) i.S.v. Art. 4 Nr. 1, 2 DSGVO, die Gegenstand des Vertrages sind oder
im Rahmen von deren Durchführung anfallen oder dem Auftragsverarbeiter bekannt werden.
Nicht unter den Anwendungsbereich fallen Daten von Mitarbeitern des Auftragsverarbeiters,
soweit sie ausschließlich das Beschäftigungsverhältnis mit dem Auftragsverarbeiter betreffen.
2 Konkretisierung des Auftragsinhalts
3 Verantwortlichkeit und Weisungsbefugnis
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des
Verantwortlichen. Der Verantwortliche ist im Rahmen dieser Vereinbarung zur
Auftragsverarbeitung für die Einhaltung der gesetzlichen Bestimmungen der
Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den
Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich
(Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO). Der Verantwortliche kann jederzeit
die Herausgabe, Berichtigung, Anpassung, Löschung und Einschränkung der
Verarbeitung der Daten verlangen. Die Einrede des Zurückbehaltungsrechts i.S.v. 273
BGB wird hinsichtlich der für den Verantwortlichen verarbeiteten Daten und der
zugehörigen Datenträger ausgeschlossen.
(2) Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen,
wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen
Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der
Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will
oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertragswidrig
verweigert. Insbesondere die Nichteinhaltung der in dieser Vereinbarung vereinbarten
und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.
(3) Zur Gewährleistung des Schutzes der Rechte der betroffenen Personen unterstützt der
Auftragsverarbeiter den Verantwortlichen angemessen, insbesondere durch die
Gewährleistung geeigneter technischer und organisatorischer Maßnahmen.
4
Gegenstand und Dauer der Auftragsvereinbarung sowie Umfang, Art und Zweck der
vorgesehenen Verarbeitung von Daten bestimmen sich nach dem in den Vergabeunterlagen
enthaltenen EVB-IT Systemvertrag H1620.2.1-964 "73 Kartenzahlungsgeräte für die ÄDBV"
sowie der Leistungsbeschreibung.
108
(4) Soweit sich eine betroffene Person zwecks Geltendmachung eines Betroffenenrechts
unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses
Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
(5) Der Auftragsverarbeiter darf Daten ausschließlich im Rahmen der Weisungen des
Verantwortlichen verarbeiten, sofern er nicht zu einer anderen Verarbeitung durch das
Recht der Union oder des Mitgliedstaates, dem der Auftragsverarbeiter unterliegt, hierzu
verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in
einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen
Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche
Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3
Satz 2 lit. a DSGVO). Eine Weisung ist die auf einen bestimmten Umgang des
Auftragsverarbeiters mit Daten gerichtete schriftliche, elektronische oder mündliche
Anordnung des Verantwortlichen. Die Anordnungen sind zu dokumentieren. Die
Weisungen werden zunächst durch diese Vereinbarung definiert und können von dem
Verantwortlichen danach in dokumentierter Form durch eine einzelne Weisung geändert,
ergänzt oder ersetzt werden.
(6) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er
der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der
Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung
solange auszusetzen, bis sie von Seiten des Verantwortlichen bestätigt oder geändert
wird.
(7) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind
gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder die betroffene
Person darf der Auftragsverarbeiter nur nach vorheriger ausdrücklicher schriftlicher
Zustimmung durch den Verantwortlichen erteilen. Der Auftragsverarbeiter verwendet die
Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte
weiterzugeben. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht
erstellt.
(8) Der Verantwortliche führt das Verzeichnis von Verarbeitungstätigkeiten
i.S.d. Art. 30 Abs. 1 DSGVO. Der Auftragsverarbeiter stellt dem Verantwortlichen auf
dessen Wunsch Informationen zur Aufnahme in das Verzeichnis zur Verfügung.
Der Auftragsverarbeiter führt entsprechend den Vorgaben des Art. 30 Abs. 2 DSGVO
ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten
Tätigkeiten der Verarbeitung.
5
109
(9) Die Verarbeitung der Daten im Auftrag des Verantwortlichen findet ausschließlich auf
dem Gebiet der Europäischen Union statt. Eine Verarbeitung in einem Staat außerhalb
des in Satz 1 genannten Territoriums ist nur zulässig, wenn sichergestellt ist, dass unter
Berücksichtigung der Voraussetzungen des Kapitels V der DSGVO das durch die
DSGVO gewährleistete Schutzniveau nicht unterlaufen wird und bedarf der vorherigen
ausdrücklichen schriftlichen Zustimmung des Verantwortlichen. Die grundlegenden
Voraussetzungen für die Rechtmäßigkeit der Verarbeitung bleiben unberührt.
(10) Der Auftragsverarbeiter stellt sicher, dass ihm unterstellte natürliche Personen, die
Zugang zu Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten.
Eine Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters
(z.B. Telearbeit, Heimarbeit, Home-Office, mobiles Arbeiten) ist nicht zulässig.
4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter
(1) Der Auftragsverarbeiter stellt gem. 1 des Verpflichtungsgesetzes (VerpflG) sicher,
dass sich die zur Verarbeitung der Daten befugten Personen zum Datenschutz und
gegebenenfalls zur Wahrung des Steuergeheimnisses verpflichtet haben und weist dies
dem Verantwortlichen nach. Dies umfasst auch die Belehrung über die in diesem
Auftragsverarbeitungsverhältnis bestehende Weisungs- und Zweckbindung.
Der Anhang 1 wird Gegenstand dieser Vereinbarung.
(2) Die Vertragsparteien unterstützen sich gegenseitig beim Nachweis und der
Dokumentation der ihnen obliegenden Rechenschaftspflicht im Hinblick auf die
Grundsätze ordnungsgemäßer Datenverarbeitung einschließlich der Umsetzung der
notwendigen technischen und organisatorischen Maßnahmen (Art. 5 Abs. 2,
Art. 24 Abs. 1 DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen hierzu bei
Bedarf entsprechende Informationen zur Verfügung.
(3) Der Auftragsverarbeiter hat eine/n Datenschutzbeauftragte/n zu benennen, die/der
ihre/seine Tätigkeit entsprechend den gesetzlichen Vorschriften ausübt. Die
Kontaktdaten der/des Datenschutzbeauftragten sind dem Verantwortlichen zum Zwecke
der direkten Kontaktaufnahme mitzuteilen.
(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen
und Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde im
Rahmen ihrer Zuständigkeit bei dem Auftragsverarbeiter anfragt, ermittelt oder sonstige
Erkundigungen einzieht.
5 Technische und organisatorische Maßnahmen und deren Kontrolle
(1) Die Vertragsparteien vereinbaren die in dem Anhang 2 zu dieser Vereinbarung
niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen.
Der Anhang 2 wird Gegenstand dieser Vereinbarung.
6
110
(2) Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt.
Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen
umzusetzen. Dabei darf das Sicherheitsniveau der in dem Anhang 2 festgelegten
Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu
dokumentieren.
(3) Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zur
Verfügung stellen, die zum Nachweis der Einhaltung der in dieser Vereinbarung
getroffenen und der gesetzlichen Vorgaben erforderlich sind. Er wird insbesondere
Überprüfungen/ Inspektionen, die vom Verantwortlichen oder einem anderen von
diesem beauftragten Prüfer durchgeführt werden, ermöglichen und deren Durchführung
unterstützen. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den
konkreten Auftrag betreffen, kann dabei auch durch Vorlage eines aktuellen Testats, von
Berichten hinreichend qualifizierter und unabhängiger Instanzen (z.B. Wirtschaftsprüfer,
unabhängige Datenschutzauditoren), durch die Einhaltung genehmigter
Verhaltensregeln nach Art. 40 DSGVO, einer Zertifizierung nach Art. 42 DSGVO oder
einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach
BSI-Grundschutz) erbracht werden. Der Auftragsverarbeiter verpflichtet sich, den
Verantwortlichen über den Ausschluss von genehmigten Verhaltensregeln gemäß
Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 und jede
andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise
unverzüglich zu unterrichten.
(4) Der Verantwortliche kann sich jederzeit zu Prüfzwecken in den Betriebsstätten des
Auftragsverarbeiters zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs
von der Angemessenheit der Maßnahmen zur Einhaltung der gesetzlichen Vorgaben
oder der zur Durchführung dieser Vereinbarung erforderlichen technischen und
organisatorischen Erfordernisse überzeugen.
(5) Der Auftragsverarbeiter stellt dem Verantwortlichen darüber hinaus alle erforderlichen
Informationen zur Verfügung, die sie für die Prüfungen nach Absatz 4 und 5 sowie für
eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz
der Daten (Datenschutz-Folgenabschätzung i.S.d. Art. 35 DSGVO) benötigen.
(6) Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen alle erforderlichen
Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung,
insbesondere auch unter Berücksichtigung des Stands der Technik, sowie zur
Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.
7
111
6 Mitteilung bei Verstößen durch den Auftragsverarbeiter
Der Auftragsverarbeiter unterrichtet den Verantwortlichen umgehend bei schwerwiegenden
Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen diese Vereinbarung
sowie gesetzliche Datenschutzbestimmungen im Hinblick auf die Daten des Verantwortlichen.
Dies gilt insbesondere im Hinblick auf die Meldepflicht nach Art. 33 Abs. 2 DSGVO sowie auf
korrespondierende Pflichten des Verantwortlichen nach Art. 33 und Art. 34 DSGVO. Der
Auftragsverarbeiter sichert zu, den Verantwortlichen erforderlichenfalls bei seinen Pflichten
nach Art. 33 und 34 DSGVO angemessen zu unterstützen. Meldungen nach
Art. 33 oder 34 DSGVO für den Verantwortlichen darf der Auftragsverarbeiter nur nach
vorheriger Weisung gem. 3 dieser Vereinbarung durchführen.
7 Löschung und Rückgabe von Daten
(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen.
(2) Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung
durch den Verantwortlichen, jedoch spätestens mit Beendigung des Vertrags, hat der
Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte
Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon
gefertigte Kopien oder Reproduktionen), die im Zusammenhang mit dem
Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger
Zustimmung des Verantwortlichen datenschutzgerecht zu vernichten. Gleiches gilt für
Test- und Ausschussmaterial. Ein Löschungsprotokoll (vgl. Anhang 3) ist dem
Verantwortlichen auf Anforderung vorzulegen.
(3) Der Auftragsverarbeiter kann Dokumentationen, die dem Nachweis der auftrags- und
ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen
Aufbewahrungsfristen bis zu deren Ende auch über das Vertragsende hinaus
aufbewahren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem
Verantwortlichen übergeben. Für die nach Satz 1 aufbewahrten Daten gelten nach Ende
der Aufbewahrungsfrist die Pflichten nach Absatz 2.
8
112
8 Subunternehmen
(1) Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Subunternehmen) nur mit
vorheriger ausdrücklicher schriftlicher Zustimmung des Verantwortlichen in Anspruch
nehmen. Die zur Erfüllung dieser Vereinbarung hinzugezogenen Subunternehmen sind
in einer Anlage im Einzelnen zu bezeichnen. Mit deren Beauftragung erklärt sich der
Verantwortliche einverstanden. Nicht als Leistungen von Subunternehmen im Sinne
dieser Regelung gelten Dienstleistungen, die der Auftragsverarbeiter bei Dritten als
Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nimmt,
beispielsweise Telekommunikationsdienstleistungen. Der Auftragsverarbeiter ist jedoch
verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des
Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und
gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu
ergreifen.
(2) Wenn Subunternehmen durch den Auftragsverarbeiter eingeschaltet werden, hat der
Auftragsverarbeiter sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem
Subunternehmen so gestaltet sind, dass das Datenschutzniveau mindestens der
Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter entspricht
und alle vertraglichen und gesetzlichen Vorgaben beachtet werden; dies gilt
insbesondere auch im Hinblick auf den Einsatz geeigneter technischer und
organisatorischer Maßnahmen zur Gewährleistung eines angemessenen
Sicherheitsniveaus der Verarbeitung.
(3) Dem Verantwortlichen sind in der vertraglichen Vereinbarung mit dem Subunternehmen
Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung einzuräumen.
Ebenso ist der Verantwortlichen berechtigt, auf schriftliche Anforderung vom
Auftragsverarbeiter Auskunft über den Inhalt des mit dem Subunternehmen
geschlossenen Vertrages und die darin enthaltene Umsetzung der
datenschutzrelevanten Verpflichtungen des Subunternehmens zu erhalten.
(4) Kommt das Subunternehmen seinen datenschutzrechtlichen Verpflichtungen nicht nach,
so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der
Pflichten des Subunternehmens. Der Auftragsverarbeiter hat in diesem Falle auf
Verlangen des Verantwortlichen die Beschäftigung des Subunternehmens ganz oder
teilweise zu beenden oder das Vertragsverhältnis mit dem Subunternehmen zu lösen,
wenn und soweit dies nicht unverhältnismäßig ist.
9
113
9 Datenschutzkontrolle
Der Auftragsverarbeiter verpflichtet sich, der/dem Datenschutzbeauftragten des
Verantwortlichen sowie der zuständigen Aufsichtsbehörde des Verantwortlichen zur Erfüllung
der gesetzlichen zugewiesenen Aufgaben im Zusammenhang mit diesem Auftrag jederzeit
Zugang zu den üblichen Geschäftszeiten zu gewähren. Der Auftragsverarbeiter unterwirft sich
zusätzlich zu der für ihn bestehenden gesetzlichen Datenschutzaufsicht der Kontrolle der für
den Verantwortlichen bestehenden Datenschutzaufsicht und der Kontrolle durch die/den
Datenschutzbeauftragten des Verantwortlichen mit Ausnahme der Bereiche, die keinerlei
Bezug zur Auftragserfüllung haben. Er duldet insbesondere Betretungs-, Einsichts- und
Fragerechte der Genannten einschließlich der Einsicht in gegebenenfalls durch das
Steuergeheimnis oder Berufsgeheimnisse geschützte Unterlagen. Er wird seine Mitarbeiter
anweisen, mit den Genannten zu kooperieren, insbesondere deren Fragen wahrheitsgemäß
und vollständig zu beantworten. Die nach Gesetz bestehenden Verschwiegenheitspflichten
und Zeugnisverweigerungsrechte der Genannten bleiben davon unberührt.
10 Anweisungs-, empfangs- und kontrollberechtigte Personen
Die gegenüber dem Auftragsverarbeiter weisungs-, empfangs- und kontrollberechtigten
Personen sind dem Auftragsverarbeiter durch den Verantwortlichen schriftlich zu benennen.
Der Auftragsverarbeiter hat diesen nach Identitätsprüfung zur Ausübung ihrer Funktion in
Begleitung eines Mitarbeiters des Auftragsverarbeiters Zutritt zu allen Sicherheitszonen zu
gewähren. Sie haben sich bei der Ausübung ihrer Befugnisse zu legitimieren. Im Anhang 4 zu
dieser Vereinbarung sind die Namen der zurzeit berechtigten Personen aufgeführt.
11 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile einschließlich
etwaiger Zusicherungen des Auftragsverarbeiters - bedürfen einer schriftlichen
Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung
bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses
Formerfordernis.
(2) Sollten einzelne Regelungen dieser Vereinbarung unwirksam oder undurchführbar sein,
wird davon die Wirksamkeit der übrigen Regelungen nicht berührt. An die Stelle der
unwirksamen oder undurchführbaren Regelung tritt diejenige wirksame und
durchführbare Regelung, deren Wirkungen der Zielsetzung am nächsten kommt, die die
Vertragsparteien mit der unwirksamen oder undurchführbaren Bestimmung verfolgt
haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich die
Vereinbarung als lückenhaft erweist.
10
114
Anhang 1
Niederschrift über die Verpflichtungserklärung
zur Vereinbarung zur Auftragsverarbeitung vom
11
zwischen
und
Vor dem Unterzeichneten erschien heute zum Zwecke der
VERPFLICHTUNG
nach 1 des Verpflichtungsgesetzes
Herr/Frau
geb. am
beschäftigt als
Freistaat Bayern, vertreten durch das Landesamt für Digitalisierung, Breitband und Vermessung
115
Der Erschienene / die Erschienene wurde auf die gewissenhafte Erfüllung seiner / ihrer
Obliegenheiten, insbesondere die Verpflichtung zum Datenschutz und gegebenenfalls zur
Wahrung des Steuergeheimnisses verpflichtet. Ihm / Ihr wurde der Inhalt der folgenden
Strafvorschriften des Strafgesetzbuches bekanntgegeben:
97b Abs. 2 i.V.m. Verrat in irriger Annahme eines illegalen Geheimnisses
94 bis 97b
133 Abs. 3 Verwahrungsbruch,
201 Abs. 3 Verletzung der Vertraulichkeit des Wortes,
203 Abs. 2, 4, 5 Verletzung von Privatgeheimnissen,
204 Verwertung fremder Geheimnisse,
331, 332 Vorteilsannahme und Bestechlichkeit,
353b Verletzung des Dienstgeheimnisses und einer besonderen
Geheimhaltungspflicht,
355 Verletzung des Steuergeheimnisses
358 Nebenfolgen
Der / die Erschienene wurde darauf hingewiesen, dass die vorgenannten Strafvorschriften auf
Grund der Verpflichtung für ihn / sie anzuwenden sind.
Er / Sie erklärt, nunmehr von dem Inhalt der genannten Bestimmungen unterrichtet zu sein.
Er / Sie unterzeichnet dieses Protokoll nach Vorlesung zum Zeichen der Genehmigung und
bestätigt gleichzeitig den Empfang einer Abschrift der Niederschrift und der oben genannten
Vorschriften.
Vorgelesen, genehmigt und unterschrieben:
12
Unterschrift des Verpflichtenden Unterschrift des Verpflichteten
116
Anhang 2
Technische und organisatorische Maßnahmen
zur Vereinbarung zur Auftragsverarbeitung vom
13
zwischen
und
5 der Vereinbarung zur Auftragsverarbeitung verweist zur Konkretisierung der technischorganisatorischen
Maßnahmen auf diesen Anhang.
1 Technische und organisatorische Sicherheitsmaßnahmen
Die Vertragspartner sind verpflichtet, geeignete technische und organisatorische Maßnahmen
so durchzuführen, dass die Verarbeitung der Daten im Einklang mit den gesetzlichen
Anforderungen erfolgt und der Schutz der Rechte der betroffenen Person in angemessener
Form gewährleistet ist.
2 Innerbehördliche oder innerbetriebliche Organisation des Auftragsverarbeiters
Der Auftragsverarbeiter wird seine innerbehördliche oder innerbetriebliche Organisation so
gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei
sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden Daten oder
Datenkategorien geeignet sind.
Freistaat Bayern, vertreten durch das Landesamt für Digitalisierung, Breitband und Vermessung
117
3 Konkretisierung der Einzelmaßnahmen
(1) Im Einzelnen werden folgende Maßnahmen bestimmt, die der Umsetzung der Vorgaben
des Art. 32 DSGVO dienen:
14
Nr. Maßnahme Umsetzung der Maßnahme
1 Zutrittskontrolle
Unbefugten ist der Zutritt zu
Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet
werden, zu verwehren.
Z.B. Zutrittskontrollsystem,
Ausweisleser, Magnetkarte, Chipkarte,
Schlüssel, Schlüsselvergabe,
Werkschutz, Pförtner,
Überwachungseinrichtung,
Alarmanlage, Türsicherung
2 Zugangskontrolle
Es ist zu verhindern, dass
Datenverarbeitungssysteme von
Unbefugten genutzt werden.
Z. B. Technische (Kennwort- /
Passwortschutz) und organisatorische
(Benutzerstammsatz) Maßnahmen
hinsichtlich der Benutzeridentifikation
und Authentifizierung, Verwendung von
dem Stand der Technik
entsprechenden
Verschlüsselungsverfahren (Beispiele:
Kennwortverfahren, Automatisches
Sperren, Einrichtung eines
Benutzerstammsatzes pro User,
Verschlüsselung von Datenträgern)
3 Zugriffskontrolle
Es ist zu gewährleisten, dass die zur
Benutzung eines
Datenverarbeitungssystems
Berechtigten ausschließlich auf die ihrer
Zugriffsberechtigung unterliegenden
Daten zugreifen können, und dass
personenbezogene Daten bei der
Verarbeitung nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden
können.
[Z.B. Bedarfsorientierte Ausgestaltung
des Berechtigungskonzepts und der
Zugriffsrechte sowie deren
Überwachung und Protokollierung,
Verwendung von dem Stand der
Technik entsprechenden
Verschlüsselungsverfahren
(Beispiele: differenzierte
Berechtigungen wie Profile, Rollen etc.
Auswertungen, Kenntnisnahme,
Veränderung, Löschung)
118
15
Nr. Maßnahme Umsetzung der Maßnahme
4 Weitergabekontrolle
Es ist zu gewährleisten, dass
personenbezogene Daten bei der
elektronischen Übertragung oder
während ihres Transportes oder ihrer
Speicherung auf Datenträger nicht
unbefugt gelesen, kopiert, verändert
oder entfernt werden können, und dass
überprüft und festgestellt werden kann,
an welche Stellen eine Übermittlung
personenbezogener Daten durch
Einrichtungen zur Datenübertragung
vorgesehen ist.
[Ergänzung] z.B. Maßnahmen bei
Transport, Übertragung und
Übermittlung oder Speicherung auf
Datenträger (manuell oder elektronisch)
sowie bei der nachträglichen
Überprüfung, Verwendung von dem
Stand der Technik entsprechenden
Verschlüsselungsverfahren,
elektronische Signatur
5 Eingabekontrolle
Es ist zu gewährleisten, dass
nachträglich
überprüft und festgestellt werden kann,
ob und von wem personenbezogene
Daten in Datenverarbeitungssysteme
eingegeben, verändert oder entfernt
worden sind.
Z.B. Nachvollziehbarkeit bzw.
Dokumentation der Datenverwaltung
gewährleisten, etwa durch
Protokollierungs- und
Auswertungssysteme
6 Auftragskontrolle
Es ist zu gewährleisten, dass
personenbezogene Daten, die im
Auftrag verarbeitet werden, nur
entsprechend den Weisungen des
Verantwortlichen verarbeitet werden
können.
Z.B. Abgrenzen der Kompetenz
zwischen Verantwortlichem und
Auftragsverarbeiter (Beispiel:
eindeutige Vertragsgestaltung, Kriterien
zur Auswahl des Auftragsverarbeiters,
Kontrolle der Vertragsausführung)
119
16
Nr. Maßnahme Umsetzung der Maßnahme
7 Verfügbarkeitskontrolle
Es ist zu gewährleisten, dass
personenbezogene Daten gegen
zufällige Zerstörung oder Verlust
geschützt sind.
Z.B. Die Daten sind gegen zufällige
Zerstörung oder Verlust zu schützen,
Maßnahmen zur Datensicherung
(Beispiel: Backup-Verfahren, Spiegeln
von Festplatten, unterbrechungsfreie
Stromversorgung, Firewall, Notfallplan)
8 Trennungskontrolle
Es ist zu gewährleisten, dass zu
unterschiedlichen Zwecken erhobene
Daten getrennt verarbeitet werden
können.
Z.B. Daten, die zu unterschiedlichen
Zwecken erhoben wurden, sind auch
getrennt zu verarbeiten,
Mandantenfähigkeit, Funktionstrennung
zwischen Produktion / Test
(2) Es ist ein Verfahren zu etablieren, das eine regelmäßige Überprüfung, Bewertung und
Evaluierung der Wirksamkeit der zum Einsatz kommenden technischen und
organisatorischen Maßnahmen durch die Vertragsparteien ermöglicht.
Datum, Ort Datum, Ort
Unterschrift (Verantwortlicher) Unterschrift (Auftragsverarbeiter)
Name, Vorname, Funktion Name, Vorname, Funktion
120
Anhang 3
Muster eines Löschungsprotokolls
Ein Löschungsprotokoll enthält mindestens je Datenträger inhaltlich folgende Informationen.
Die Darstellungsreihenfolge und -form ist nicht fest vorgegeben.
Mit * markierte Felder sind freiwillige Angaben. Erläuterungen und Beispiele in < >.
Informationen zur ausführenden Person und Unternehmen:
17
Name durchführende Person:
Firma/Organisation:
Löschergebnis je Datenträger:
Datenträgerart:
Modell:
Typ:
Serien-Nr.:
Größe:
Bus:
Sektorenanzahl:
HPA: <(Nicht) vorhanden>
DCO: <(Nicht) vorhanden>
Remappte Sektoren:
Lösch-Software/Version:
Löschstandard:
Löschung Start:
Löschung Ende:
Löschung Dauer:
Status: Gelöscht / Fehler X
Hardware-Informationen:
(nur soweit ein Gesamtsystem mit eingebauten Datenträgern zurückgegeben wird)
*Prozessor:
*Gesamtspeicher:
Hersteller:
Modell:
Serien-Nr.:
*Version:
*Asset tag:
Alle Datenträger:
Festplatte: ,
Das Löschungsprotokoll ist wie folgt zu bestätigen:
Hiermit bestätige ich, dass die Datenlöschung gemäß den Vorgaben ordnungsgemäß durchgeführt
wurde.
Unterzeichnung durch: Ausführende Person / Aufsicht bzw. Vorgesetzter / Firmenstempel
121
Anhang 4
Liste der anweisungs-, empfangs- und kontrollberechtigte Personen
zur Vereinbarung zur Auftragsverarbeitung vom
18
zwischen
und
Nach 10 der Vereinbarung zur Auftragsverarbeitung benennt der Verantwortliche folgende
anweisungs-, empfangs- und kontrollberechtigte Personen:
Berechtigung
lfd.
Nr.
Vor- und Zuname Anweisung
Empfänger
von
Unterlagen
Kontrolle Unterschriftsprobe
1.
2.
3.
4.
5.
6.
7.
8.
, den
Unterschrift des Verantwortlichen
Freistaat Bayern, vertreten durch das Landesamt für Digitalisierung, Breitband und Vermessung
122
LEISTUNGSVERZEICHNIS
Ausschreibung
05.08.2019
Verfahren: 2019MRE000003 - Kartenzahlungsgeräte für die ÄDBV
SKONTO
Skonto zugelassen Nein
Zahlungsziel
(falls zugelassen)
Tag(e)
Skonto __________ %
AUFLISTUNG ALLER POSITIONEN
ALLE PREISE SIND OHNE UMSATZSTEUER ANZUGEBEN
Allgemeiner Hinweis:
Im Angebot ist die genaue Modellbezeichnung des angebotenen Kartenzahlungsgerätes anzugeben. Für das angebotene Modell sind
Prospektmaterial, Datenblätter sowie
aussagekräftige Nachweise der geforderten Merkmale unter dem Arbeitsschritt "Eigene Anlagen" beizufügen.
Hinweis zum Mietpreis für Kartenzahlungsgeräte:
Die Positionen 2.1.5 der Leistungsbeschreibung und 5.2 der Bewertungsmatrix Leistung sind bei der Kalkulation des Mietpreises
zu berücksichtigen.
Die Pilotierungsphase eines Kartenzahlungsgerätes an einem ADBV über den Zeitraum von zwei Monaten nach Zuschlagserteilung
gemäß Position 2.1.6 der
Leistungsbeschreibung wird vom Auftraggeber nicht gesondert vergütet.
1 Mietpreis Kartenzahlungsgeräte USt. [%]
19%
Menge
1,00
Einheit
Pauschale
Im Angebotspreis wird die Miete von 73 Kartenzahlungsgeräten incl. Full-Service und Zubehör für ein
Vertragsjahr berücksichtigt.
Geben Sie die Mietpauschale pro Kartenzahlungsgerät und Monat an. Der Jahrespreis für die 73
Kartenzahlungsgeräte wird vom System automatisch berechnet.
Einzelpreis [EUR]
................
pro 1,00 Pauschale
Gesamtpreis [EUR]
................
Leistungsverzeichnis - 1/5
123
Textergänzungen/Eigenschaften
Modellbezeichnung des Kartenzahlungsgerätes: ________
Monatlicher Mietpreis netto pro Kartenzahlungsgerät inkl. Full-Service und
Zubehör: ________ Euro
Gesamtpreis Miete für 73 Kartenzahlungsgeräte für ein Vertragsjahr.:
Euro
Formel: 73*12*[Monatlicher Mietpreis netto pro Kartenzahlungsgerät inkl. Full-Service und
Zubehör]
Ergebnis: Preis
2 Transaktionskosten USt. [%]
19%
Menge
50.000,00
Einheit
(ohne Einheit)
Bitte geben Sie den Nettopreis für 100 (bitte Anzahl beachten!) Transaktionen ein.
Die Preisabfrage erfolgt bezogen auf 100 Transaktionen, damit auch ungerade Centbeträge für den
Einzeltransaktionspreis eingegeben werden können.
Die Abrechnung erfolgt nach der tatsächlichen Anzahl der genutzten Transaktionen.
Bei der Berechnung des Angebotspreises wird von 50.000 Transaktionen (Zahlungsvorgängen) pro
Vertragsjahr ausgegangen.
Einzelpreis [EUR]
................
pro 100,00 (ohne Einheit)
Gesamtpreis [EUR]
................
3 Umsatzsteuerfreie Disagios USt. [%]
0%
Menge
1,00
Einheit
(ohne Einheit)
Im Angebotspreis werden umsatzsteuerfreie Disagios pro Vertragsjahr berücksichtigt.
Zur Vergleichbarkeit der Angebote wird von einem geschätzten Zahlungsvolumen von 800.000 Euro pro
Vertragsjahr ausgegangen.
Einzelpreis [EUR]
................
pro 1,00 (ohne Einheit)
Gesamtpreis [EUR]
................
4 Umsatzsteuerpflichtige Disagios USt. [%]
19%
Menge
1,00
Einheit
(ohne Einheit)
Im Angebotspreis werden umsatzsteuerpflichtige Disagios pro Vertragsjahr berücksichtigt.
Zur Vergleichbarkeit der Angebote wird von einem geschätzten Zahlungsvolumen von 800.000 Euro pro
Einzelpreis [EUR]
................
pro 1,00 (ohne Einheit)
Gesamtpreis [EUR]
................
Leistungsverzeichnis - 2/5
124
Vertragsjahr ausgegangen
5 Mietpreis für zusätzliche Kartenzahlungsgeräte
(optionale Menge)
Optionalposition
USt. [%]
19%
Menge
10,00
Einheit
Pauschale
Zusätzliche Anmietung von maximal 10 Kartenzahlungsgeräten inkl. Full-Service und Zubehör.
Die Eigenschaften der Kartenzahlungsgeräte müssen mit den unter Position 1 genannten Eigenschaften
identisch sein.
Die tatsächliche Menge und der Zeitpunkt der Anmietung sind noch nicht bekannt.
Einzelpreis [EUR]
................
pro 1,00 Pauschale
Gesamtpreis [EUR]
ohne Gesamtpreis
6 Belegpapier (optionale Menge)
Optionalposition
USt. [%]
19%
Menge
10,00
Einheit
Paket
Belegpapier für angebotenes Kartenzahlungsgerät; Nettopreis pro Paket mit 100 Rollen inkl. Versandkosten.
Zur Vergleichbarkeit der Angebote wird von einem Kauf von 10 Paketen ausgegangen. Hierbei handelt es
sich um einen Schätzwert. Es besteht kein Anspruch auf eine tatsächliche Abnahme.
Einzelpreis [EUR]
................
pro 1,00 Paket
Gesamtpreis [EUR]
ohne Gesamtpreis
ANGEBOTSSUMME(N)
Summe exkl. Nachlass
(netto) ____________________
Nachlass
(netto) ____________________
Summe inkl. Nachlass
(netto) ____________________
Leistungsverzeichnis - 3/5
125
Umsatzsteuer ____________________
Summe
(brutto) ____________________
Leistungsverzeichnis - 4/5
126
LEISTUNGSVERZEICHNIS
Ausschreibung
05.08.2019
Verfahren: 2019MRE000003 - Kartenzahlungsgeräte für die ÄDBV
AUFLISTUNG ALLER DATEIANLAGEN ZU DEN POSITIONEN
Name Dateiname Größe MIME-Type
Leistungsverzeichnis - 5/5
127
KRITERIENKATALOG
Ausschreibung
05.08.2019
Verfahren: 2019MRE000003 - Kartenzahlungsgeräte für die ÄDBV
EIGNUNGSKRITERIEN
1 Unternehmensdarstellung
1.1 Unternehmensdarstellung [Mussangabe]
K.O.-Kriterium: Nein
Bitte stellen Sie Ihr Unternehmen / Bietergemeinschaft und Ihr Leistungsportfolio kurz (max. 2 Seiten) dar.
Gehen Sie dabei besonders auf den Gegenstand der Ausschreibung ein.
2 Referenzen
2.1 Referenzangaben
Geben Sie bitte drei mit dem ausgeschriebenen Leistungsgegenstand vergleichbare Referenzaufträge dreier unterschiedlicher
Auftraggeber an. Die jeweilige Referenz darf nicht älter als drei Jahre und muss noch nicht abgeschlossen sein.
Fehlende, unvollständige Angaben und nicht vergleichbare Referenzen führen grundsätzlich zum Ausschluss aus dem
Vergabeverfahren.
2.2 Referenz 1
Gewichtung: 0,00%
2.2.1 Referenzkunde [Mussangabe]
K.O.-Kriterium: Nein
Name und Adresse des Referenzkunden
2.2.2 Ansprechpartner des Referenzkunden [Mussangabe]
K.O.-Kriterium: Nein
Ansprechpartner bzw. zuständige Stelle des Referenzkunden mit Telefonnummer / E-Mail
2.2.3 Zeitraum der Leistungserbringung [Mussangabe]
K.O.-Kriterium: Nein
Zeitraum der Leistungserbringung (Kalenderdaten)
2.2.4 Inhalt (Kurzbeschreibung des Projekts) [Mussangabe]
K.O.-Kriterium: Nein
Kurzbeschreibung des Projekts
2.2.5 Auftragsvolumen des Projekts [Mussangabe]
K.O.-Kriterium: Nein
Auftragsvolumen in Euro netto
2.3 Referenz 2
Gewichtung: 0,00%
2.3.1 Referenzkunde [Mussangabe]
K.O.-Kriterium: Nein
Name und Adresse des Referenzkunden
2.3.2 Ansprechpartner des Referenzkunden [Mussangabe]
K.O.-Kriterium: Nein
Ansprechpartner bzw. zuständige Stelle des Referenzkunden mit Telefonnummer / E-Mail
2.3.3 Zeitraum der Leistungserbringung [Mussangabe]
K.O.-Kriterium: Nein
Kriterienkatalog - 1/5
128
Zeitraum der Leistungserbringung (Kalenderdaten)
2.3.4 Inhalt (Kurzbeschreibung des Projekts) [Mussangabe]
K.O.-Kriterium: Nein
Kurzbeschreibung des Projekts
2.3.5 Auftragsvolumen des Projekts [Mussangabe]
K.O.-Kriterium: Nein
Auftragsvolumen in Euro netto
2.4 Referenz 3
Gewichtung: 0,00%
2.4.1 Referenzkunde [Mussangabe]
K.O.-Kriterium: Nein
Name und Adresse des Referenzkunden
2.4.2 Ansprechpartner des Referenzkunden [Mussangabe]
K.O.-Kriterium: Nein
Ansprechpartner bzw. zuständige Stelle des Referenzkunden mit Telefonnummer / E-Mail
2.4.3 Zeitraum der Leistungserbringung [Mussangabe]
K.O.-Kriterium: Nein
Zeitraum der Leistungserbringung (Kalenderdaten)
2.4.4 Inhalt (Kurzbeschreibung des Projekts) [Mussangabe]
K.O.-Kriterium: Nein
Kurzbeschreibung des Projekts
2.4.5 Auftragsvolumen des Projekts [Mussangabe]
K.O.-Kriterium: Nein
Auftragsvolumen in Euro netto
3 Leistungsfähigkeit / Umsatz
3.1 technische und personelle Voraussetzungen
Können Sie zusichern, dass Sie aufgrund Ihrer technischen und personellen Voraussetzungen grundsätzlich in der Lage sind, die
geforderten Leistungen zu erbringen?
[ ] Keine Angabe
[ ] Ja
[ ] Nein
Nur eine Antwort wählbar
3.2 fach- und termingerechte Ausführung
Können Sie die zur fach- und termingerechten Ausführung erforderlichen Arbeitskräfte, Geräte, etc. zusichern?
[ ] Keine Angabe
[ ] Ja
[ ] Nein
Nur eine Antwort wählbar
3.3 durchschnittlicher Jahresumsatz (bezogen auf die letzten drei Geschäftsjahre)
Gewichtung: 0,00%
3.3.1 Jahresumsatz [Mussangabe]
K.O.-Kriterium: Nein
Angabe des Netto-Jahresumsatzes 2016, 2017 und 2018 in Euro (netto).
Bei Bietergemeinschaften / Generalunternehmen oder Subunternehmern werden die Zahlen addiert.
Kriterienkatalog - 2/5
129
4 Eigenerklärung
4.1 Bestätigung der Kenntnisnahme [Mussangabe]
K.O.-Kriterium: Ja
Die Eigenerklärung habe ich zur Kenntnis genommen und bestätige ihren Inhalt.
[ ] Keine Angabe
[ ] Ja
[ ] Nein
Nur eine Antwort wählbar
4.2 Angaben zu fakultativen Ausschlussgründen
K.O.-Kriterium: Nein
Sollten für Sie bzw. Ihr Unternehmen fakultative Ausschlussgründe nach 124 GWB vorliegen, schildern Sie bitte, warum diese
nicht
zu einem Ausschluss vom Verfahren führen sollen.
Der Auftraggeber entscheidet im Rahmen der Angebotsprüfung über den Ausschluss.
Sie können ausführlichere Angaben zum Sachverhalt auch im Arbeitsschritt Eigene Anlagen als Dokument hochladen.
5 Ausschlussgründe nach 31 UVgO i.V.m. 123, 124 GWB
5.1 Hinweis
Hinweis:
Ein Eintrag zu den folgenden Punkte erfolgt erst bei der Angebotsprüfung durch den Auftraggeber, es ist kein Eintrag durch den
Bieter zulässig.
5.2 Ausschlussgründe entsprechend 123 GWB
Der Auftraggeber hat keine Kenntnis von zwingenden Ausschlussgründen entsprechend 123 GWB?
[ ] Keine Angabe
[ ] Ja
[ ] Nein
Nur eine Antwort wählbar
5.3 Ausschluss entsprechend 124 GWB
Der Auftraggeber hat keine Kenntnis von fakultativen Ausschlussgründen entsprechend 124 GWB, die zum Ausschluss führen?
[ ] Keine Angabe
[ ] Ja
[ ] Nein
Nur eine Antwort wählbar
Kriterienkatalog - 3/5
130
KRITERIENKATALOG
Ausschreibung
05.08.2019
Verfahren: 2019MRE000003 - Kartenzahlungsgeräte für die ÄDBV
LEISTUNGSKRITERIEN
1 Ansprechpartner
1.1 Ansprechpartner für technische Belange
Gewichtung: 0,00%
1.1.1 Ansprechpartner für technische Belange
Bei technischen Fragen kann sich der Auftraggeber an folgende Kontaktstellen des Auftragnehmers (ggf. des
Herstellers/Subunternehmers) wenden:
1.1.2 Auftragnehmer [Mussangabe]
K.O.-Kriterium: Nein
Bezeichnung des Auftragnehmers:
1.1.3 Organisatorische Einheit / Abteilung [Mussangabe]
K.O.-Kriterium: Nein
Organisatorische Einheit / Abteilung:
1.1.4 Postanschrift [Mussangabe]
K.O.-Kriterium: Nein
Postanschrift der Support ausführenden Stelle (PLZ, Stadt, Land):
1.1.5 Telefon [Mussangabe]
K.O.-Kriterium: Nein
Telefonnummer:
1.1.6 Fax [Mussangabe]
K.O.-Kriterium: Nein
Faxnummer:
1.1.7 E-Mail [Mussangabe]
K.O.-Kriterium: Nein
E-Mailadresse:
1.1.8 Webadresse [Mussangabe]
K.O.-Kriterium: Nein
Webadresse:
1.2 Ansprechpartner für Allgemeines und Vertragsangelegenheiten
Gewichtung: 0,00%
1.2.1 Ansprechpartner für Allgemeines und Vertragswesen [Mussangabe]
K.O.-Kriterium: Nein
Bei Fragen zur Vertragsabwicklung und allgemeinen Belangen kann sich der Auftraggeber an folgende Kontaktstellen des
Auftragnehmers (ggf. des Herstellers/Subunternehmers) wenden:
1.2.2 Auftragnehmer [Mussangabe]
K.O.-Kriterium: Nein
Bezeichnung des Auftragnehmers:
Kriterienkatalog - 4/5
131
1.2.3 Organisatorische Einheit / Abteilung [Mussangabe]
K.O.-Kriterium: Nein
Organisatorische Einheit / Abteilung:
1.2.4 Postanschrift [Mussangabe]
K.O.-Kriterium: Nein
Postanschrift der Support ausführenden Stelle (PLZ, Stadt, Land):
1.2.5 Telefon [Mussangabe]
K.O.-Kriterium: Nein
Telefonnummer:
1.2.6 Fax [Mussangabe]
K.O.-Kriterium: Nein
Faxnummer:
1.2.7 E-Mail [Mussangabe]
K.O.-Kriterium: Nein
E-Mailadresse:
1.2.8 Webadresse [Mussangabe]
K.O.-Kriterium: Nein
Webadresse:
2 Bewertungsmatrix Leistung [Mussangabe]
K.O.-Kriterium: Nein
Die Anlage Bewertungsmatrix Leistung muss vom Bieter vollständig ausgefüllt (d.h. es sind alle Fragen zu beantworten) und im
Angebotsassistenten im Arbeitsschritt Eigene Anlagen als Excel-Datei hochgeladen werden.
Der Bieter kann für die Beantwortung der Fragen auch eigene Dokumente erstellen und dem Angebot elektronisch im Arbeitsschritt
Eigene Anlagen beifügen. Bei jeder Antwort muss der Bieter die jeweilige Referenznummer in der Bewertungsmatrix (z.B. Kriterium
1.1) angeben, damit ein eindeutiger Bezug seiner Ausführungen zum jeweiligen Kriterium hergestellt werden kann.
Bitte bestätigen Sie die Kenntnisnahme.
[ ] Keine Angabe (0)
[ ] Ja (0)
[ ] Nein (0)
Nur eine Antwort wählbar
3 Ausschlusskriterien erfüllt
Alle in der Bewertungsmatrix Leistung angegebenen Ausschlusskriterien werden erfüllt.
Die Überprüfung und Bewertung erfolgt durch den Auftraggeber auf Basis der Bieterangaben. (=Auswertungskriterium für
Auftraggeber).
[ ] Keine Angabe
[ ] Ja
[ ] Nein
Nur eine Antwort wählbar
Kriterienkatalog - 5/5
132
Name Dateiname Größe MIME-Type
Bewertungsmatrix Leistung Bewertungsmatrix Leistung.xlsx 52,71 KB
application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
133

Source: 4 https://www.bund.de/IMPORTE/Ausschreibungen/healyhudson/2019/08/35c9788d-62e2-491e-88b7-9b1a7b9d5d58.html
Data Acquisition via: p8000000

 
 
Ausschreibung ausschreibung Ausschreibungen Ingenieure Öffentliche Ausschreibungen Datenbank Öffentliche Ausschreibungen Architekten Öffentliche Ausschreibungen Bau