Leitfaden: Tender Compliance Schweiz: BöB, IVöB, revDSG

BöB, IVöB und revDSG für Bid-Teams kompakt erklärt. Schwellenwerte, Föderalismus-Logik, Datenschutzpflichten und EU-AI-Act-Schnittstellen.

Tender Compliance in der Schweiz ist ein Dreiklang aus Bundesgesetz für Bundesausschreibungen (BöB), interkantonaler Vereinbarung für Kantons- und Gemeindeauftraege (IVöB) und revidiertem Datenschutzgesetz (revDSG). Dazu kommen Schnittstellen zum EU AI Act, zur EU-DSGVO und zu branchenspezifischen Regelwerken. Dieser Leitfaden klärt die wichtigsten Pflichten kompakt und praktisch für Bid-Teams.

Drei Gesetze, drei Logiken

**BöB (Bundesgesetz über das öffentliche Beschaffungswesen)**. Regelt Beschaffungen von Bund, bundesnahen Betrieben (SBB, Post, Swisscom) und Auftraggebern, die mehrheitlich öffentlich finanziert sind. Aktuelle Fassung seit 2021. Logik: einheitliches Bundesrecht, klare Schwellenwerte, Nachhaltigkeit als Kriterium gleichgewichtet mit Preis und Qualität.

**IVöB (Interkantonale Vereinbarung über das öffentliche Beschaffungswesen)**. Regelt Beschaffungen von Kantonen, Gemeinden und kommunalen Auftraggebern. Aktuelle Fassung seit 2021. Logik: weitgehend parallel zu BöB (das war das Kernziel der 2021-er Revision), aber mit kantonalen Verfahrens-Eigenheiten.

**revDSG (revidiertes Datenschutzgesetz)**. In Kraft seit September 2023. Schweizer Pendant zur EU-DSGVO mit ähnlichen Strukturen, aber spezifischen Schweizer Ausprägungen. Gilt sobald personenbezogene Daten verarbeitet werden, was in Tender-Bearbeitung praktisch immer der Fall ist.

BöB Schwellenwerte (2026)

Drei Bereiche, jeweils mit Schwellenwert. Über dem Schwellenwert sind öffentliche Verfahren mit SIMAP-Publikation Pflicht.

  • **Lieferungen und Dienstleistungen**: ab CHF 230'000 öffentlich.
  • **Bauleistungen Hauptauftrag**: ab CHF 8'700'000 öffentlich.
  • **Bauleistungen Nebenauftrag**: ab CHF 230'000 öffentlich.

Unter den Schwellenwerten sind freihändige Verfahren oder Einladungsverfahren möglich.

Drei zusätzliche Konzepte sind relevant:

  • **Eignungskriterien**: was müssen Anbieter mitbringen, um teilnehmen zu dürfen (Referenzen, Zertifikate, Mitarbeiterzahl).
  • **Zuschlagskriterien**: nach welchen Faktoren wird entschieden (Preis, Qualität, Nachhaltigkeit, Lebenszykluskosten).
  • **Technische Spezifikation**: was wird konkret beschafft (mit Risiko der "designed-around"-Spezifikation, die Mitbewerber faktisch ausschliesst).

IVöB-Föderalismus

IVöB folgt seit 2021 weitgehend BöB-Logik. Wichtige Unterschiede:

  • **Verfahrensvarianten**: Kantone können kantonsspezifische Schwellenwerte und Verfahrenstypen vorsehen, solange die EU-Mindeststandards erfüllt sind.
  • **Zuständige Vergabestelle**: Bei Kantonsausschreibungen das Kantonale Beschaffungsamt, bei Gemeindeauftraegen die Gemeinde selbst, bei interkommunalen Verbaenden das jeweilige Gemeindeverband-Sekretariat.
  • **Beschwerdeweg**: Erste Instanz typisch Verwaltungsgericht des Kantons, Bundesgericht in zweiter Instanz.

Praktisch wichtig für Bid-Teams: Kantons-spezifische Submission-Formate. Manche Kantone fordern explizit kantonale Beilagen-Formulare, manche akzeptieren Bundes-Standards. Library-Einträge sollten kantonale Varianten reflektieren.

revDSG-Pflichten

Sobald Tender-Dokumente personenbezogene Daten enthalten (Mitarbeitenden-CVs, Projektreferenzen mit Personennamen, Subunternehmer-Daten), greift revDSG. Vier Hauptpflichten:

**1. Verarbeitungsverzeichnis**. Jede Verarbeitung von personenbezogenen Daten ist zu dokumentieren: Zweck, Datenkategorien, Empfänger, Aufbewahrungsfristen, Sicherheitsmassnahmen. Anbieter müssen das Verzeichnis auf Anfrage der Datenschutzbehörde vorlegen können.

**2. Auftragsverarbeitungsvertrag (AVV)**. Wenn Sub-Auftragsverarbeiter (Cloud-Anbieter, KI-Tools, externe Bid-Manager) Daten verarbeiten, braucht es einen schriftlichen Vertrag, der Zweck, Dauer, Datenkategorien, Sicherheitsmassnahmen und Subunternehmer-Genehmigung regelt.

**3. Datenflussdokumentation**. Welche Daten gehen wohin, in welchem Land werden sie verarbeitet, über welche Schnittstellen, an welche Drittparteien? Bei Tender-Bearbeitung mit Cloud-Tools ist das eine vier- bis sechszeilige Tabelle pro Tool.

**4. Drittstaaten-Transfer**. Wenn Daten in Laender ausserhalb der Schweiz und ausserhalb der EU/EWR gehen, braucht es eine zusätzliche Rechtsgrundlage. Mit Standardvertragsklauseln (SCCs), Angemessenheitsbeschluss oder ausdruecklicher Einwilligung.

DSGVO-Verschachtelung

Die EU-DSGVO greift in zwei Fällen auch für Schweizer Anbieter:

  • Wenn der Anbieter Daten von Personen aus der EU verarbeitet (z.B. EU-Mitarbeitende, EU-Subunternehmer).
  • Wenn der Anbieter mit einem EU-basierten Auftraggeber arbeitet.

Praktisch bedeutet das: Wer in der DACH-Region operiert, sollte Tender-Compliance an DSGVO-Niveau ausrichten. revDSG erfüllt fast alle DSGVO-Pflichten, mit kleinen Detail-Abweichungen (z.B. bei Datenverarbeitung im Beschaeftigungskontext, beim Profiling, bei Datenlecks).

AI Act und Tender

Der EU AI Act, in Kraft seit 2024 mit gestaffelter Anwendung bis 2027, klassifiziert KI-Systeme in vier Risiko-Kategorien. Tender-Bearbeitung als interner Bid-Prozess landet in der Regel bei "limited risk", was Transparenzpflichten auslöst:

  • Generierte Outputs müssen als KI-generiert erkennbar sein.
  • Der Einsatz von KI im Prozess muss dokumentiert sein.
  • Keine besonderen Auflagen zu Modell-Validierung oder Conformity Assessment.

Für Schweizer Anbieter gilt der AI Act nicht direkt, hat aber Strahlwirkung: Wer in EU-Markt liefert oder mit EU-Auftraggebern arbeitet, muss die Pflichten einhalten. Saubere Praxis ist ohnehin AI-Act-konform.

Compliance-Checkliste für jede Submission

Vor jeder Submission durchläuft das Bid-Team eine 12-Punkte-Checkliste. 24 Stunden vor Abgabe.

**Formal:**

  • Submission-Format korrekt (PDF/A bei vielen Behörden)?
  • Seitenzahl im Konzept eingehalten?
  • Signatur-Reihenfolge korrekt?
  • Alle Pflicht-Beilagen beigefügt?

**Inhaltlich:**

  • Alle "muss"-Anforderungen explizit beantwortet?
  • Pricing-Kalkulation transparent und Markup nachvollziehbar?
  • Referenz-Projekte aktuell und mit Auftraggeber-Einwilligung verlinkt?

**Compliance:**

  • Datenschutz-Aussagen mit Quellennachweis (Verarbeitungsverzeichnis-Auszug, AVV-Liste)?
  • Compliance-Zertifikate aktuell und beigefügt?
  • KI-Nutzung im Prozess dokumentiert (sofern Auftraggeber danach fragt)?

**Audit-Trail:**

  • Audit-Log der Submission archiviert?
  • Wer hat wann freigegeben? Schriftlich dokumentiert?

Diese Checkliste schliesst eine ganze Verlust-Kategorie strukturell aus: formale Ausschlüsse durch banale Vergessen.

Branchenspezifische Compliance

In bestimmten Branchen kommen zusätzliche Compliance-Schichten dazu:

  • **Banken / Finanzdienstleister**: FINMA-Aufsicht, Bankgeheimnis, Outsourcing-Rundschreiben. Auch für Anbieter, die Banken beliefern.
  • **Gesundheitswesen**: Heilmittelgesetz, Patientendaten-Schutz, kantonale Gesundheitsgesetze.
  • **Energie**: Stromversorgungsgesetz, ElCom-Aufsicht bei Netzbetreibern.
  • **Telekommunikation**: Fernmeldegesetz, BAKOM-Aufsicht.

Bid-Teams in regulierten Branchen sollten branchenspezifische Compliance-Blöcke in die Knowledge Library aufnehmen, mit Owner aus dem entsprechenden Fachgebiet.

Was 2026 neu ist

Drei Entwicklungen sind beobachtenswert:

**KI-Pflichtangaben in Submissions**. Immer mehr Schweizer Auftraggeber fragen explizit nach KI-Nutzung im Bid-Prozess. Erwartet wird Transparenz, nicht Verzicht.

**Nachhaltigkeitskriterien gewinnen Gewicht**. CO2-Bilanz, Lieferketten-Compliance, Diversity-Kennzahlen werden in Submission-Fragebogen zunehmend gewichtet. Library-Einträge zu Nachhaltigkeit sind 2026 Pflicht.

**Datenresidenz-Fragen werden detaillierter**. "Wo wird gehostet?" reicht nicht mehr. Erwartet werden Antworten auf "Wo werden Backups gespeichert? Wo laufen AI-Inferenzen? Wo werden Logs aufbewahrt?". Präzise Antworten unterscheiden seriose von oberflaechlichen Anbietern.

Kerneinsicht

**Compliance ist im Schweizer Beschaffungswesen 2026 ein Vertriebs-Asset, nicht ein Hindernis.** Anbieter, die BöB-Schwellenwerte, IVöB-Variationen, revDSG-Pflichten und AI-Act-Implikationen souveraen beantworten, gewinnen Tender. Anbieter, die in der Compliance-Sektion ungeklaert oder oberflaechlich antworten, verlieren sie. Die Investition in saubere Library-Einträge zu Compliance-Themen amortisiert sich pro Tender innerhalb der ersten zwei Verwendungen.

Häufige Fragen

Welche Schwellenwerte gelten 2026 im Schweizer Beschaffungswesen?

Bund (BöB): Lieferungen und Dienstleistungen ab CHF 230'000, Bauleistungen Hauptauftrag ab CHF 8'700'000, Bauleistungen Nebenauftrag ab CHF 230'000. Kantone (IVöB): Schwellenwerte variieren leicht, im offenen Verfahren typisch CHF 250'000 für Lieferungen und Dienstleistungen, CHF 500'000 für Bauleistungen. Aktuelle Werte immer in der jeweiligen Verordnung prüfen.

Welche Pflichten hat ein Anbieter unter revDSG bei der Tender-Bearbeitung?

Vier Hauptpflichten: Verarbeitungsverzeichnis führen, Auftragsverarbeitungsverträge mit Sub-Anbietern abschliessen, Datenflussdokumentation erstellen, Drittstaaten-Transfer rechtssicher gestalten. Das gilt sobald personenbezogene Daten in Tender-Dokumenten verarbeitet werden, was schon bei Mitarbeitenden-CVs der Fall ist.

Wie wirkt der EU AI Act auf Schweizer Bid-Teams?

Direkt nur, wenn Sie in EU-Markt liefern oder mit EU-basierten Auftraggebern arbeiten. Indirekt setzt er aber den Best-Practice-Standard, dem auch Schweizer Auftraggeber zunehmend folgen. Saubere KI-Nutzung sollte EU-AI-Act-konform sein, auch wenn keine direkte Pflicht besteht.

Was muss ich im Submission-Fragebogen zu Datenschutz beantworten?

Drei typische Fragen: Wo werden Daten gehostet? Welche Sub-Auftragsverarbeiter sind involviert? Wie wird die Mitarbeitenden-Kontrolle über Datenzugriff gestaltet? Bereiten Sie Standard-Antworten in Ihrer Knowledge-Library vor, mit Quellennachweis auf Vertragsunterlagen.

Wie oft ändern sich diese Vorschriften?

BöB und IVöB werden alle 3 bis 5 Jahre revidiert (letztes grosses Update 2021), Schwellenwerte alle 2 Jahre durch Verordnung angepasst. revDSG wurde 2023 grundsaetzlich revidiert und ist seitdem stabil. EU AI Act tritt gestaffelt bis 2027 in Kraft.

Wer ist im Bid-Team für Compliance verantwortlich?

Drei Rollen teilen sich die Verantwortung: Bid Manager für Submission-Compliance (Format, Beilagen, Antwortvollstaendigkeit), Legal für Vertragsklauseln und Datenschutz, CISO für Sicherheit und Audit-Trails. Library-Owner stellt sicher, dass Compliance-Antworten in der Library aktuell sind.

Was ist der Unterschied zwischen BöB und IVöB?

BöB regelt Bundesausschreibungen, IVöB regelt Kantons- und Gemeindeausschreibungen. Beide folgen seit 2021 weitgehend parallelen Logiken (vergleichbare Schwellenwerte, Nachhaltigkeits-Kriterien, Lebenszykluskosten). Die Detail-Verfahrens-Praxis variiert kantonal.

Zum Inhalt springen

Tendaro – Swiss AI Bid Platform

Tendaro is a Swiss B2B SaaS platform for AI-powered tender and bid management. It helps companies in Switzerland manage public tenders, private RFQs, buyer-portal packages and uploaded tender documents from intake to submission-ready proposals, in a single workspace.

Sources and intake

Tendaro consolidates public tenders (SIMAP publications across all 26 Swiss cantons supported), private customer RFQs, invitation-based tenders from buyer portals, and tender documents uploaded directly as PDF, Word, Excel or ZIP archives. Scanned PDFs are processed too. Swiss filename conventions like Pflichtenheft, Lastenheft, Eignungskriterien and AGB are recognised natively.

Document understanding

Tendaro turns tender documents and company knowledge into structured requirements, risks, deadlines, ownership, fit insights and proposal-ready answers. Muss, Kann and Soll criteria are distinguished. Eligibility, evaluation and technical criteria are classified separately. Each requirement carries a source citation back to the original document, sheet, row or page.

Knowledge reuse

Company Memory stores past proposals, won tenders, references, certifications, CVs, datasheets and curated answer blocks. Knowledge Matching maps these assets to current requirements with a fit score, so teams can answer new RFQs faster and more consistently.

Key features

Bid Desk enables collaborative bid/no-bid decisions where team members vote with comments and Tendaro provides an AI recommendation with confidence score. Bid Pulse is a strategic intelligence hub that analyses a company's entire tender history to reveal win/loss patterns, recurring weaknesses, market demand trends, and prioritised recommendations. AI Tender Chat allows natural-language conversations about any tender, with full context awareness of documents, requirements, and company knowledge. Tender Discovery covers SIMAP imports and parallel intake of private RFQs and uploaded packages. Deadline Calendar provides visual tracking of all extracted deadlines colour-coded by urgency.

Target audience

Tendaro is built for bid teams, presales teams, and companies that regularly respond to tenders in Switzerland and the DACH region: IT service providers, engineering firms, consultancies, and professional services.

Security

All data is hosted exclusively in Swiss data centres. Customer data is never used for AI model training. Tendaro features role-based access control, immutable audit trails, and Human Approval before every submission.