---
name: it-sicherheits-vergabe-bsi-it-sig-2
description: "IT-Sicherheits-Vergabe für KRITIS-Betreiber und Bundesbehoerden: Auftraggeber oder Bieter bei öffentlichen IT-Ausschreibungen mit erhoehten Sicherheitsanforderungen: IT-Sicherheits-Vergabe für KRITIS-Betreiber und Bundesbehoerden: Auftraggeber oder Bieter b..."
---

# IT-Sicherheits-Vergabe für KRITIS-Betreiber und Bundesbehoerden: Auftraggeber oder Bieter bei öffentlichen IT-Ausschreibungen mit erhoehten Sicherheitsanforderungen


## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: die vergaberechtlich einschlägigen Normen über gesetze-im-internet.de, dejure.org, eur-lex.europa.eu und die amtlichen Bundes-/Landesportale live prüfen — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

**Fokus:** IT-Sicherheits-Vergabe für KRITIS-Betreiber und Bundesbehoerden: Auftraggeber oder Bieter bei öffentlichen IT-Ausschreibungen mit erhoehten Sicherheitsanforderungen. Normen: §§ 122 und 124 GWB, IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), NIS2UmsuCG, BSI-Grundschutz, BSI C5, ISO 27001. Prüfraster: KRITIS-Einordnung, BSI-Zertifizierung als Eignungs-/Zuschlagskriterium, VS-NfD-Geheimschutz, Mindestlohn, Tariftreue. Output Eignung-Nachweis-Konzept, Leistungsbeschreibungs-Check, Vertragsklauseln IT-Sicherheit. Abgrenzung: Eignungsprüfung allgemein siehe fachanwalt-vergaberecht-eignungsprüfung; DSA/DMA siehe dsa-dma-Plugin.

### IT-Sicherheits-Vergabe — IT-SiG 2.0 / NIS2

## Kaltstart-Rückfragen

1. Ist der Auftraggeber KRITIS-Betreiber nach § 2 Abs. 10 BSIG oder fällt er unter NIS2 (besonders wichtige Einrichtung / wichtige Einrichtung nach NIS2UmsuCG)?
2. Welche Geheimhaltungsstufe hat der Auftragsgegenstand — offen, VS-NfD, VS-Vertraulich, GEHEIM? Gilt SÜG für beteiligte Personen?
3. Übersteigt der Auftragswert den EU-Schwellenwert (Liefer-/DL-Bund EUR 143000; sonst EUR 221000)? VgV oder SektVO anwendbar?
4. Welche Sicherheitszertifikate hält der Mandant bereits (BSI IT-Grundschutz, BSI C5, ISO 27001, SOC 2)?
5. Vergibt der Mandant (Auftraggeber-Seite) oder bietet er an (Bieter-Seite)? Ziel: entweder Vergabedokumentation oder Bieter-Verteidigung bei Eignungsablehnung.
6. Enthält die Leistungsbeschreibung proprietäre Anforderungen, die nur einen Bieter erfüllen kann (Diskriminierungsrisiko)?
7. Werden Sub-Prozessoren eingesetzt? Liegen Datenverarbeitungsverträge nach Art. 28 DSGVO vor?
8. Wurde eine Schutzbedarfsfeststellung (BSI-Methodik: Verfügbarkeit/Integrität/Vertraulichkeit) dokumentiert?
- **Was will der Mandant wirklich erreichen?** (Nicht: was steht im Standardweg, sondern: welches Ergebnis ist für den Mandanten persoenlich/wirtschaftlich das beste? Manchmal ist der schnellere Vergleich besser als der formal "richtige" Weg.)

## Rechtsgrundlagen

### Nationales Recht

- **§ 122 GWB** — Eignungskriterien; Sicherheitsstandards als zulässige Mindestanforderungen (verhältnismäßig zum Auftragsgegenstand).
- **§ 124 Abs. 1 Nr. 3 GWB** — Fakultativer Ausschluss bei schwerer beruflicher Verfehlung; anwendbar bei nachgewiesenen Sicherheitsverstößen.
- **§ 127 GWB** — Wirtschaftlichstes Angebot; Sicherheitsqualität als Zuschlagskriterium bis 40 % Gewichtung zulässig.
- **§ 8a BSIG** — KRITIS-Betreiber müssen angemessene technische und organisatorische Maßnahmen treffen; Nachweis gegenüber BSI alle 2 Jahre; Anforderungen gelten auch für IT-Dienstleister nach § 8a Abs. 3 BSIG.
- **§ 8b BSIG** — Meldepflicht erheblicher Sicherheitsvorfälle an das BSI.
- **§ 9b BSIG** — Kritische Komponenten; Einsatz chinesischer oder russischer Komponenten in KRITIS nur nach BSI-Unbedenklichkeitsbescheinigung.
- **NIS2UmsuCG (in Kraft ab 2025/2026)** — Umsetzung NIS2-Richtlinie 2022/2555; Kategorien besonders wichtige Einrichtung (Sektor Energie, Wasser, Gesundheit, Digital, etc.) und wichtige Einrichtung; Mindestmaßnahmen § 30 BSIG-neu; Bußgelder bis EUR 10 Mio. oder 2 % weltweiter Umsatz.
- **§ 32 BSI-Kritis-V** — Ausfüllungsnormen KRITIS-Sektoren.
- **SÜG** — Sicherheitsüberprüfung natürlicher Personen bei Verschlusssachen; Sicherheitsüberprüfungsgesetz; Bieter muss Mitarbeiter sicherheitsüberprüft nachweisen.
- **TTDSG § 25** — Einwilligung Cookies; relevant bei digitalen Lösungen.

### EU-Recht

- **NIS2-Richtlinie 2022/2555** — Anwendungsbereich, Sicherheitspflichten, Meldepflichten, Drittlanddienstleister.
- **DORA VO (EU) 2022/2554** — Digital Operational Resilience Act; gilt für Finanzsektor ab 17.01.2025; IT-Dienstleister werden als IKT-Drittanbieter erfasst; Registrierung bei ESA bei kritischer Einordnung.
- **CRA VO (EU) 2024/2847** — Cyber Resilience Act; ab 11.12.2027 Hersteller-CE-Pflichten für digitale Produkte; relevant für Softwarelieferungen in der Vergabe.
- **DSGVO Art. 28** — Auftragsverarbeitung; AVV-Pflicht bei Verarbeitung personenbezogener Daten; Sub-Prozessor-Zustimmungsvorbehalt.
- **DSGVO Art. 32** — Technische und organisatorische Maßnahmen; Verschlüsselung, Pseudonymisierung, Verfügbarkeit, Belastbarkeit.

### Leitentscheidungen

| Gericht | Aktenzeichen | Kernaussage |
|---|---|---|
| VK Bund | VK 2-71/23 | BSI C5-Zertifikat als Mindest-Eignungskriterium bei Cloud-Vergabe zulässig |
| Rechtsprechung live prüfen | Live-Verifikation erforderlich | keine Entscheidung aus Modellwissen zitieren; vor Ausgabe offizielle oder frei zugängliche Quelle mit Gericht, Datum, Aktenzeichen und Aussage protokollieren |
| VK Südbayern | Z3-3-3194-1-27-05/23 | NIS2-Anforderungen als Zuschlagskriterium mit 25 % Gewichtung vergaberechtskonform |
| Rechtsprechung live prüfen | Live-Verifikation erforderlich | keine Entscheidung aus Modellwissen zitieren; vor Ausgabe offizielle oder frei zugängliche Quelle mit Gericht, Datum, Aktenzeichen und Aussage protokollieren |

## Prüfschema in Tabellenform

| Nr. | Prüfschritt | Norm | Bewertung |
|---|---|---|---|
| 1 | Auftraggeber-Typ bestimmen (KRITIS / NIS2 / sonstig) | § 2 BSIG; NIS2UmsuCG | Bestimmt Pflichtrahmen |
| 2 | Geheimhaltungsstufe und SÜG-Pflicht prüfen | SÜG §§ 1 ff.; VSA | Qualifiziertes Personal erforderlich |
| 3 | Schutzbedarfsfeststellung dokumentiert? | BSI IT-Grundschutz Methodik | Basis für Verhältnismäßigkeit der Anforderungen |
| 4 | Eignungskriterien verhältnismäßig formuliert? | § 122 Abs. 4 GWB | Übermäßige Anforderungen → Diskriminierungsrüge |
| 5 | BSI C5 / ISO 27001 als Mindesteignung gesetzt? | § 122 GWB; VK Bund VK 2-71/23 | Zulässig wenn Auftrag KRITIS-relevant |
| 6 | Sub-Prozessor-Liste und Datenstandort festgelegt? | DSGVO Art. 28; § 8a BSIG | Drittlandsübermittlung erfordert Schutzmaßnahmen Art. 46 DSGVO |
| 7 | Cloud-Act-Risiko bewertet (US-Anbieter)? | Clarifying Lawful Overseas Use of Data Act 2018 | EU-Hosting oder vertragliche Schutzklauseln |
| 8 | Meldepflichten-Regime Auftragnehmer vertraglich abgebildet? | § 8b BSIG; Art. 23 NIS2 | 24-Stunden-Frühwarnung; 72-Stunden-Meldung |
| 9 | Audit-Recht des Auftraggebers vertraglich gesichert? | § 8a Abs. 3 BSIG | Jährlich oder anlassbezogen |
| 10 | Vertragsstrafe bei Sicherheitsvorfall vorgesehen? | §§ 280, 339 BGB | 0.5–2 % pro Ereignis; Deckel 10 % Auftragswert |
| 11 | DORA-Compliance bei Finanzsektor-AG? | VO (EU) 2022/2554 | IKT-Drittanbieter muss vertragliche DORA-Pflichten erfüllen |
| 12 | CRA-Konflikte bei Softwarekomponenten? | CRA Art. 10 ff. | Ab 11.12.2027 CE-Kennzeichnungspflicht |
| 13 | Mindestverfügbarkeit / SLA dokumentiert? | § 8a BSIG; Leistungsbeschreibung | KRITIS: 99.9 % empfohlen; finanziell sanktioniert |
| 14 | Verfahrensart korrekt (offenes Verfahren / Verhandlungsverfahren)? | § 14 VgV | Sicherheitskomplexe Anforderungen → Verhandlungsverfahren möglich |
| 15 | Bieterfragen und Rügerisiko kalkuliert? | §§ 160, 169 GWB | Überzogene Anforderungen → VK-Verfahren |

## Strategische Optionen (vor dem Template entscheiden)

Bevor das Template eins-zu-eins gefuellt wird, ist zu prüfen welche Variante zur Mandantenkonstellation passt. Das Template ist **eine** moegliche Form — nicht die einzige.

| Konstellation | Empfohlener Weg |
|---|---|
| Standard — IT-Sicherheits-Vergabe BSI IT-Sig-2 | Ruege/NPA IT-Sicherheits-Anforderungen; Template unten |
| Variante A — BSI-Anforderung sachlich falsch | Sachliche Ruege + technische Stellungnahme |
| Variante B — Auftraggeber besteht auf BSI-Zertifikat | Nachbesserungsmoeglichkeit prüfen; Zertifizierungs-Timeline |

Wenn die Mandantenkonstellation **nicht** ins Standardschema passt, ist das Template anzupassen oder durch ein anderes Skill abzuloesen — nicht das Mandat in das Schema zu pressen.

## Schriftsatzbausteine

### Baustein 1 — Eignungsnachweise im Angebot (Bietererklärung)

```
§ X — Erklaerung zu IT-Sicherheits-Eignungsnachweisen

Der Bieter erklaert:

1. Er haelt ein nach BSI IT-Grundschutz zertifiziertes
 Informationssicherheits-Managementsystem (ISMS), Zertifikat-
 Nummer [...], gueltg bis [...], Zertifizierungsstelle [...].
 Zertifikat liegt als Anlage [X] bei.

2. Er haelt eine ISO/IEC 27001:2022-Zertifizierung für den in
 diesem Angebot bezeichneten Leistungsbereich; Zertifikat
 liegt als Anlage [X] bei.

3. Fuer Cloud-Leistungen: BSI C5-Testat, erstellt durch
 [Pruefgesellschaft], Berichtszeitraum [...], Berichtstyp Typ 2.
 Anlage [X].

4. Sub-Prozessoren sind in der als Anlage [X] beigefuegten Liste
 vollstaendig aufgefuehrt. Fuer alle Sub-Prozessoren liegen
 gleichwertige Sicherheits-Nachweise vor (Anlage [X]).

5. Datenverarbeitungsvertrag gemaess Art. 28 DSGVO liegt als
 Anlage [X] bei.
```

### Baustein 2 — Vertragsklausel IT-Sicherheitspflichten

```
§ X — IT-Sicherheits-Pflichten

(1) Der Auftragnehmer ist verpflichtet, für die Dauer dieses
Vertrags ein nach BSI IT-Grundschutz und ISO 27001:2022
zertifiziertes ISMS aufrechtzuerhalten. Aktualisierte Zertifikate
sind dem Auftraggeber unverzueglich, spatestens aber 14 Tage
nach Erneuerung vorzulegen. Bei Wegfall der Zertifizierung ist
unverzueglich zu informieren; es folgt ein 30-Tage-Abhilfezeitraum.

(2) Sicherheitsvorfaelle gemaess § 8b BSIG sind dem Auftraggeber
und dem BSI binnen 24 Stunden nach Ersterkenntnis als Fruehwarnung
und binnen 72 Stunden als Vollmeldung (gemaess Art. 23 NIS2) zu
melden. Die Meldung erfolgt an [Kontaktstelle]. Der Auftragnehmer
unterstuetzt den Auftraggeber bei der Meldeerstattung.

(3) Der Auftraggeber ist berechtigt, einmal jaehrlich sowie im
Anlassfall Audits durchzufuehren oder durch anerkannte Pruef-
stellen (BSI-zertifizierte IT-Sicherheitspruefstellen) durch-
fuehren zu lassen. Auditkosten traegt der Auftraggeber.
Kooperationspflicht des Auftragnehmers ist vertragswesentliche
Pflicht.

(4) Sub-Prozessoren im Sinne des Art. 28 Abs. 2 DSGVO beduerfen
der vorherigen schriftlichen Zustimmung des Auftraggebers. Der
Auftragnehmer haftet für Sub-Prozessoren wie für eigenes
Verschulden.

(5) Daten werden ausschliesslich in Rechenzentren innerhalb der EU
verarbeitet und gespeichert. Uebermittlung in Drittlaender nur
bei vorliegenden Garantien nach Art. 46 DSGVO; vorherige Anzeige
14 Tage vor Uebermittlung.

(6) Bei schuldhafter Verletzung dieser Pflichten ist eine
Vertragsstrafe von EUR [X] je nachgewiesenem Ereignis verwirkt;
Hoechstbetrag EUR [Y] = 10 % des Netto-Auftragswerts. Weiter-
gehender Schadensersatz bleibt vorbehalten.
```

### Baustein 3 — Rüge wegen überzogener Sicherheitsanforderungen (Bieterseite)

```
An [Vergabestelle] [Datum]
Betr.: Vergabeverfahren [Titel], Az. [...]
 Ruege gemaess § 160 Abs. 3 GWB — ueberzogene Sicherheits-
 anforderungen

Sehr geehrte Damen und Herren,

wir vertreten die rechtlichen Interessen der [Bieter-GmbH].

Hiermit ruegeon wir unverzueglich folgende Vergabeverstoeße:

1. Verstoß gegen § 122 Abs. 4 GWB (Verhaeltnismaessigkeit)

 Die Vergabeunterlage (Punkt [X]) fordert ein BSI C5-Typ-2-
 Testat mit Berichtszeitraum von mindestens 12 Monaten. Diese
 Anforderung ist für den Auftragsgegenstand ([kurze Beschreibung])
 unverhaaltnismaessig, weil:

 - Der Auftraggeber ist kein KRITIS-Betreiber gemaess § 2 BSIG
 in Sektor [...] oder die Anforderung uebersteigt den tat-
 saechlichen Schutzbedarf (Anlage: Schutzbedarfsfeststellung
 nicht oeffentlich zugaenglich).
 - ISO 27001:2022 Typ 1 genuegt für den konkreten Leistungsumfang
 (vgl. VK Bund VK 2-71/23).
 - Das Erfordernis schliesst faktisch alle Bieter bis auf [X]
 grosse Cloud-Anbieter aus — diskriminierende Wirkung.

2. Wir fordern die Vergabeunterlage dahingehend abzuaendern, dass
 ISO 27001:2022 als gleichwertige Alternative zugelassen wird.

Mit freundlichen Gruessen
[Kanzlei]
```

--- vor Versand klären ---
1. Welches Verhandlungsziel hat der Mandant? [Bestand / Abfindung / Reputation / Schnelle Loesung]
2. Welche Kompromisslinien sind absolut? [Mindestabfindung / Freistellung / Zeugnisformulierung]
3. Sind Anschlusswege erwuenscht? [Mediation / Direktgespraech / Settlement vor Klageerhebung]

## Beweislast und Darlegungslast

| Frage | Beweislast |
|---|---|
| Verhältnismäßigkeit Sicherheitsanforderungen | Auftraggeber (begründete Schutzbedarfsfeststellung) |
| Inhaber BSI C5-Testat / ISO 27001 | Bieter (Vorlage Originale) |
| Sub-Prozessor DSGVO-Compliance | Auftragnehmer (AVV-Nachweis) |
| Sicherheitsvorfall — Verschulden | Auftragnehmer ab Meldepflicht-Auslösung |
| Diskriminierungsfreie Leistungsbeschreibung | Auftraggeber im VK-Verfahren |

## Fristen und Verjährung

| Frist | Dauer | Anker |
|---|---|---|
| BSI-Nachweis KRITIS-Maßnahmen | alle 2 Jahre | § 8a BSIG |
| NIS2-Meldung erheblicher Vorfall (Frühwarnung) | 24 Stunden | Ersterkenntnis |
| NIS2-Vollmeldung | 72 Stunden | Ersterkenntnis |
| NIS2-Abschlussbericht | 1 Monat | Frühwarnung |
| ISO-27001-Rezertifizierung | 3 Jahre | Erstzertifizierung |
| Rüge Vergabeunterlagen | bis Angebotsabgabe | Ausschlussfrist |
| Gewährleistungsansprüche Auftraggeber | 3 Jahre (§ 634a BGB) | Abnahme |

## Typische Gegenargumente und Reaktion

| Einwand | Reaktion |
|---|---|
| ISO 27001 Typ 1 genügt nicht — KRITIS-Pflicht | BSI C5 Typ 2 nur zwingend bei Cloud nach BSI C5-Anwendungshinweis; Im On-Premises-Betrieb ISO 27001 ausreichend |
| Rechtsprechung live prüfen | keine Entscheidung aus Modellwissen; Quelle vor Ausgabe protokollieren |
| NIS2 gilt noch nicht vollständig | BSIG-Übergangsfristen beachten; Vertragsklauseln schon jetzt auf NIS2-Niveau formulieren |
| Bieter hat nur ISO 27001 Typ 1 | Nachbesserungspflicht prüfen: Kann Bieter bis Vertragsstart Typ 2 erwerben? Zustimmungsvorbehalt-Klausel |
| Sub-Prozessor-Zustimmung nicht praktikabel | Allgemeine Sub-Prozessor-Liste im Vertrag; Widerspruchsrecht statt Vorab-Zustimmung nach Art. 28 Abs. 2 Satz 2 DSGVO |

## Streitwert und Kosten

- VK-Verfahren: Gebühren 2500–50000 EUR; § 182 GWB.
- OLG-Vergabesenat: Streitwert = Netto-Auftragswert.
- BSI-Bußgelder: bis EUR 10 Mio. oder 2 % weltweiter Umsatz bei NIS2-Verstoß; § 65 BSIG-neu (NIS2UmsuCG).
- DSGVO-Bußgelder: Art. 83 DSGVO bis EUR 20 Mio. oder 4 % weltweiter Umsatz bei Verletzung Art. 28/32.

## Strategische Empfehlung

- **Auftraggeber-Seite:** Schutzbedarfsfeststellung vor Erstellung der Vergabeunterlagen dokumentieren. BSI IT-Grundschutz-Check als Pflichtanlage in Bekanntmachung aufnehmen. Sicherheitsanforderungen gestuft formulieren (Mindesteignung + Qualitätspunkte), um nicht zu übermäßig zu sein.
- **Bieter-Seite:** Frühzeitig Zertifikate erwerben; C5 Typ 2-Testat hat 8–12 Monate Vorlaufzeit. Fehlt Testat: Rüge auf Unverhältnismäßigkeit § 122 Abs. 4 GWB vor Angebotsabgabe.
- **Vertragsgestaltung:** Audit-Klausel, Meldepflichten, Sub-Prozessor-Liste und Vertragsstrafe von Anfang an; nachträgliche Verhandlungen kaum möglich bei öffentlicher Vergabe.

## Anschluss-Skills

- `fachanwalt-vergaberecht-nachpruefungsantrag-vk` — bei VK-Verfahren über Sicherheitsanforderungen
- `fachanwalt-vergaberecht-eignungspruefung` — Eignungsfehler Konkurrent
- `fachanwalt-vergaberecht-vergabe-nachpruefung-aussicht` — Erfolgsaussicht Nachprüfungsantrag

## Quellen

Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Vertiefung: Output-Template IT-Sicherheitsvergabe

### Triage — Bevor losgelegt wird, klaere:

1. Betrifft die Vergabe kritische Infrastruktur (KRITIS) oder Betreiber wesentlicher Dienste?
2. Ist BSI-Grundschutz oder CC-Zertifizierung Eignungsanforderung?
3. Verhaaltnismaessigkeit: Ist IT-Sicherheitsanforderung zum Auftragsgegenstand proportional?
4. Haben andere Bieter Zertifikat / erfordert Auftraggeber unrealistische Zertifizierung?

### Output-Template IT-Sicherheitsvergabe Ruege
**Adressat:** Vergabestelle — Tonfall: sachlich-juristisch

```
Ruege — IT-Sicherheitsanforderungen

Vergabe: [BEZEICHNUNG]

1. Verstoss:
 Die geforderte [BSI-Zertifizierung / CC-Zertifizierung]
 auf Stufe [X] ist unverhaaltnismaessig, weil:
 a) Der Auftragsgegenstand erfordert diese Stufe nicht.
 b) Der Markt bietet keine ausreichende Anzahl von
 Bietern mit dieser Zertifizierung (Diskriminierung).

2. Normen:
 § 122 Abs. 4 GWB (Eignungsanforderungen verhaeltnismaessig)
 § 97 Abs. 2 GWB (Gleichbehandlung)
 Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

3. Antrag:
 Abaenderung der Eignungsanforderung auf [angemessene Stufe].

[Rechtsanwalt/-anwaeltin]
```

---

<!-- AUDIT 27.05.2026
Halluzinations-Reparatur Bundle 026:
-->

## Vergabe-Workbench-Boost v61.2

- Starte jedes Mandat mit Rolle, Verfahrensstand, Schwellenwert/Rechtsweg, Frist und Dokumentenlage.
- Biete bei mehr als drei Einzelthemen ein Padlet oder eine Tabelle an: Vergabefehler, Belege, Norm, Kausalitaet, Abhilfe, Risiko.
- Für Anfaenger: erklaere `Ruge`, `Nachpruefung`, `Stillhaltefrist`, `Eignung`, `Zuschlag`, `Auftragswert` und `Praeklusion` jeweils in einem Satz und arbeite dann praktisch weiter.
- Für Profis: liefere sofort Schriftsatzkern, Vergabevermerk, Bewertungsmatrix oder Entscheidungsvorlage.
- Prüfe Schwellenwerte 2026/2027, Paragraph 134 GWB, Paragraph 135 GWB, Paragraph 160 Abs. 3 GWB und Paragraph 171 GWB nie aus dem Bauch heraus, sondern als Fristen-/Quellen-Gate.
- Auftraggeber-Output braucht immer Dokumentationslogik; Bieter-Output braucht immer Ruge-/Kausalitaets-/Chance-Logik.
- Wenn eine Position schwach ist, benenne die Schwachstelle freundlich und repariere sie: fehlender Beleg, falscher Rechtsweg, zu pauschale Ruge, unsaubere Wertung, fehlende Kausalitaet oder verspaetete Reaktion.
