Eingelangt am 31.01.2024
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

ANFRAGE

 

des Abgeordneten Christian Hafenecker, MA

an die Bundesministerin für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie

betreffend Fragwürdige Vergabe „SAP RISE Subscription und Migration“ durch ÖBB-Business GmbH

 

 

In Bezug auf das nicht unumstrittene Vergabeverfahren betreffend „SAP RISE Subscription und Migration“ vom 22.12.2023 durch die ÖBB-Business Competence Center GmbH[1] mit einem Auftragswert von knapp 49 Millionen Euro(!) stellen sich für die parlamentarische Kontrolle und letztlich den Steuerzahler unter anderem Fragen nach Sinnhaftigkeit, Transparenz und möglicher Absprachen sowie Übervorteilungen.

 

 

In diesem Zusammenhang stellt der unterfertigte Abgeordnete an die Bundesministerin für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie folgende

 

Anfrage

 

1.    Warum wurde bei einem derartigen hohen Auftragswert als Verfahrensart ein „Verhandlungsverfahren ohne vorherige Bekanntmachung“ gewählt? Bitte um Begründung.

2.    Warum schließen Sie durch Wahl dieser Verfahrensart andere Bieter (insbesondere nationale Unternehmen bzw. KMUs) von der Vergabe aus? Auf Basis der uns vorliegenden Informationen sind auch Drittunternehmen berechtigt, SAP RISE Subscriptions zu verkaufen. Bitte begründen Sie Ihre Entscheidung im Sinne des BVergG?

3.    Welche Deployment-Option von SAP RISE soll bei ÖBB zur Anwendung kommen?

a.    SAP RISE Public Cloud Edition

b.    SAP RISE Private Cloud Edition

c.    SAP RISE Private Cloud Edition, Tailored Option

 

Weitere Fragen zu Option 3b – Private Cloud Edition:

4.    Welcher zur Auswahl stehende Hyperscaler Anbieter (Microsoft Azure, AWS-Amazon Web Services, GCP-Google Cloud Platform) wurde in der Projektierung und mit der Vergabe ausgewählt?

5.    Wie hoch waren die Kostenvorteile des ausgewählten Hyperscalers im Vergleich zu den restlichen beiden Anbietern?

6.    Haben Sie sich nur aus Kostengründen für den bestgereihten Hyperscaler entschieden oder gab es weitere Beweggründe?

 

Weitere Fragen zu Option 3c – Private Cloud Edition, Tailored Option:

7.    SAP RISE wird gemäß Website des Herstellers SAP als SaaS Service (Software-as-a-Service) und als Verfahren zur Bereitstellung von Softwareanwendungen über das Internet beschrieben. Laut SAP Website[2] handelt es sich bei der Tailored Option jedoch um ein Angebot bei dem die IT-Infrastruktur, wie bisher, im ÖBB Rechenzentrum betrieben würde. Bitte erläutern Sie warum ein derartiges Deployment noch als Cloud Offering bezeichnet werden kann?

8.    Welche Erfahrungen haben Referenzkunden von SAP mit der Option 3c – Private Cloud Edition, Tailored Option? Wie viele Referenzkundentermine hat die ÖBB wahrgenommen und was waren die Conclusio und die „Lessons Learned“ aus diesen Kundenprojekten?

 

9.    Besonders in Deutschland wird seit 2021 zum Thema „Souveräne Cloud“ intensiv diskutiert und gerade im öffentlichen Bereich bzw. bei öffentlichen Auftraggebern ist dieses Thema allgegenwärtig. Diese Diskussion trifft nach unserem Verständnis auch für österreichische öffentliche Unternehmen und die öffentliche Verwaltung zur Gänze zu. Inwiefern wurde bei den einzelnen RISE Deployment Optionen geprüft, ob es sich um ein Modell einer „Souveränen Cloud“ handelt, vgl. dazu das Offering von T-Systems in Deutschland?[3]

10. Die Initiative Gaia-X[4] verfolgt genau diese Anforderungen. Wurde das SAP Offering mit den Zielen dieser EU-Initiative verglichen und etwaige Abweichungen identifiziert?

 

11. Gemäß Pressemitteilung vom 3.2.2022 soll in Deutschland ein Cloud-Rechenzentrum für Lösungen der öffentlichen Hand und von öffentlichen Unternehmen realisiert werden.[5] Gibt es Pläne von SAP, dies auch in Österreich zu realisieren und war dies Vorbedingung im ggstl. Vergabeverfahren?

 

12. Für ÖBB wird ab 17. Oktober 2024 die NIS-2 Richtlinie als Sektorenunternehmen mit hoher Kritikalität gelten. Wurden im Vorfeld die zukünftigen Anforderungen aus der NIS-2 Richtlinie mit dem Auftragnehmer abgestimmt und wurden Abweichungen identifiziert?

a.    Falls es Abweichungen gibt, wie wird diesen entgegengesetzt und welche Kosten sind zu erwarten?

b.    Wurden die zu erwarteten Kosten im Business Case berücksichtigt und wie hoch sind diese?

c.    Wurde die Governance und die Prozesse in Bezug auf die NIS-2 Vorgaben mit dem Auftragnehmer erörtert bspw. die Einbindung in das CSIRT (Cyber Security Incident Response Team)? Wie hoch sind die zusätzlichen Kosten durch die organisatorischen Maßnahmen bei Einbindung eines weiteren Partners bei ÖBB? Wurden diese Kosten im Business Case berücksichtigt?

d.    Wurde das Vorhaben und das Offering mit der zuständigen Behörde „Büro für Strategische Netz- und Informationssystemsicherheit (Strategisches NISBüro) im BKA abgestimmt? Was waren die Erkenntnisse?

e.    Hat die zuständige Stelle das SAP RISE Offering mit anderen öffentlichen Unternehmen in Bezug auf NIS-2 erläutert. Gibt es andere öffentliche Unternehmen oder die öffentliche Hand für die die NIS-2 Richtlinie zur Anwendung kommt, welche das SAP RISE Offering bereits in Anspruch genommen haben?

 

13. Im Vergleich zum Modell Softwarelizenzkauf mit Wartung hat das Abomodell (Subscriptions) den wesentlichen Nachteil, dass bei Kündigung des Vertrages auch das Nutzungsrecht sofort erlischt.[6] Bitte begründen Sie Ihre Entscheidung unter dem Gesichtspunkt der aktuell gültigen und aufrechten Softwarewartungspflegeverträge mit dem Unternehmen SAP?

14. Die bei ÖBB aktuell im Einsatz befindliche Softwareversion SAP S/4HANA wird von SAP im Rechenzentrum von ÖBB bis mind. ins Jahr 2040 gewartet und mit Updates und Weiterentwicklungen versorgt.[7] Bitte erläutern Sie Ihre Entscheidung zugunsten SAP RISE wenn die Weiterentwicklung und die Wartung der bestehenden Produkte über einen derartig langen Zeitraum (17 Jahre) gesichert ist?

15. Der Wechsel vom OnPremise Betrieb zu SAP RISE wird von SAP mit Innovation von SAP die nur unter SAP RISE zur Verfügung stehen argumentiert. Welche Innovationen sind dies und welche Innovation wird ÖBB zu welchem Zeitpunkt einsetzen? Haben diese innovativen Funktionen schon eine Marktreife erreicht und wenn nicht warum schließt man schon jetzt derartige Verträge ab? vgl. dazu auch Frage 10).

16. Bei Cloudlösungen (SaaS, PaaS Modell) werden für gewöhnlich Schwierigkeiten bei einem notwendigen oder gewünschten Vertragsausstieg (Exit) vorausgesagt. Wie sieht das vereinbarte Exit-Szenario bei SAP RISE für ÖBB aus und wie hoch sind die damit verbundenen Kosten?

17. Wurden seitens ÖBB Abnahmeverpflichtungen mit SAP eingegangen oder handelt es sich um ein reines pay-per-use Modell?

18. Experten berichten, dass bei fehlerhafter Benutzung (Verwendung von nicht gekauften Funktionen, Übernutzung etc.) von SaaS-Lizenzmodellen unvorhergesehene Mehrkosten über die Vertragslaufzeit entstehen können. Wurden im Falle einer versehentlichen oder ungeplanten Übernutzung des SaaS Produkts RISE vertragliche Vorkehrungen zur Beschränkung der Kosten (Caps o.ä.) getroffen?

19. Experten berichten, dass SAP RISE Projekte seitens SAP aber auch seitens der teilnehmenden Hyperscaler Anbieter (Google, Amazon, Microsoft) hohe einmalige Rabatte gewährt werden. Wie hoch sind die gewährten Rabatte im Falle dieses Vertragsabschlusses?

20. SAP RISE Kunden berichten, dass die Abwicklung und Durchlaufzeiten bei Change Requests im Vergleich zum bisherigen SAP Betriebsmodell höher, komplexer und somit kostenintensiver wurden. Welche vertraglichen Vorkehrungen wurden seitens ÖBB getroffen, falls eine derartige Situation eintritt?

21. Warum wurden in der näheren Vergangenheit bei ÖBB zwei Vergabeverfahren zu Cloud Lösungen widerrufen oder abgebrochen mit der Möglichkeit zwischen mehreren Anbietern auswählen zu können?[8] Warum wird im ggstl. Direktvergabeverfahren vorab auf einen Anbieter eingeschränkt? Dies widerspricht womöglich den gesetzlichen Vorgaben des Bundesvergabegesetzes.

22. Experten berichten, dass die üblichen hohen Service Level Agreements im OnPremise Betrieb oder Managed Service Betrieb auch bei SAP RISE zugesichert werden. Können diese Mehrkosten über einen verbesserten SLA beim SAP RISE Offering beziffert werden?

23. Durch den verteilten Betrieb der SAP RISE Anwendungen ergeben sich zusätzliche IT-Netzwerk-, IT-Security und Firewallanforderungen. Diese Services unterliegen jedoch nicht den SLAs des Cloud Anbieters und bergen ein Risiko seitens ÖBB und haben somit Einfluss auf die End-to-End Service Level Agreements und können somit sogar zu einer Verschlechterung der bisherigen SLAs führen. Bitte begründen Sie Ihre Entscheidung?

24. Wurden mit der zuständigen ÖBB IT-Security Abteilung Auswirkungen auf Schnittstellen und Integrationsszenarien durch den verteilten Betrieb der Anwendungen erläutert?

a.    Ist ein sicherer Austausch von Schnittstellendateien gewährleistet und wenn ja wie?

b.    Kommt es zu keinen Einschränkungen für ÖBB-Anwender (Mitarbeiter, Pensionisten) bei der Nutzung der Systeme (bspw. einheitliche Anmeldung über Single Sign On)?

25. Wurden alternative und etablierte SAP-Betriebsmodelle in der Projektierung einem Vergleich unterzogen (OnPremise Betrieb AS-IS, Managed Service Betrieb mit einem etablierten Outsourcing Unternehmen, SAP Remote Betrieb)? Wenn ja, welche Vor- und Nachteile, Kosten und Risiken wurden identifiziert?

26. Kam es zu einem Kundenaustausch mit großen SAP-Anwendungsunternehmen welche SAP Managed Service Betriebsmodelle langjährig und erprobt im Einsatz haben wie bspw. ASFINAG, Mondi AG, SAPPI Papier, Post AG, MAGNA, etc.?

27. Gab es im Vorfeld eine Evaluierung zur Ablöse der aktuellen SAP-Hardwareplattform zugunsten einer weit verbreitenden x86-Plattform? Wenn nein, warum nicht?

28. Welche Tätigkeiten werden die betroffenen IT-Administratoren und IT-Experten bei ÖBB nach Projektabschluss übernehmen, wenn dann ein Großteil der IT- und SAPBetriebsthemen in der Verantwortung eines Internetkonzerns liegt?

a.    Welche Altersstruktur und welches Durchschnittsalter weisen die betroffenen Mitarbeiter auf?

29. Experten zufolge wird SAP RISE von SAP bzw. von SAP-Subdienstleistern mit Sitz in Indien oder anderen EU-Drittstaaten erbracht. Bitte begründen Sie Ihre Entscheidung unter dem Gesichtspunkt

a.    eines weiteren Wertschöpfungsverlustes außerhalb des EU-Raums durch ein öffentliches Unternehmen und

b.    und dem Widerspruch zur Stärkung von KMUs mit der letzten Fassung des BVergG 2018?

30. Welche Cloud-Services mit welchem jährlichen Kostenvolumen wurden bereits von ÖBB zu großen Internetkonzernen verlagert?