Anleitung: Vertraulichkeitsverpflichtung von Geschäftspartnern und Dienstleistern (NDA)

Anleitung: Vertraulichkeitsverpflichtung von Geschäftspartnern und Dienstleistern (NDA)

Das Gesetz (und häufig auch Verträge mit Geschäftspartnern) verpflichten Unternehmen für den Schutz ihrer Geschäftsgeheimnisse zu sorgen. Ohne einen hinreichenden Schutz, kann der Schutz von internen Informationen und Know-How vor Gericht versagt werden.

Ferner sind Unternehmen dazu verpflichtet, dafür zu sorgen, dass die von ihnen verarbeiteten personenbezogenen Daten auch beim Einsatz von Dienstleistern hinreichend geschützt werden (Art. 32 DSGVO).

Die mit unserem Generator erstellte Vertraulichkeitsverpflichtung berücksichtigt sowohl den Schutz von Geschäftsgeheimnissen, als auch den Schutz von personenbezogenen Daten.

Nachfolgend erhalten Sie die wichtigsten Informationen zum Generator und eine Anleitung zu dessen Bedienung.

Hinweis: Die Verpflichtungserklärung kann sowohl speziell für Deutschland als auch für Österreich und die Schweiz erstellt werden.

Inhaltsverzeichnis

Schutzpflichten, Geheimnisverlust und Haftung

EU-Unternehmen müssen aktiv für den Schutz ihrer Geschäftsgeheimnisse sorgen (EU-Richtlinie 2016/943, umgesetzt im deutschen Geschäftsgeheimnisgesetz (GeschGehG) und § 26a – 26 j des Bundesgesetzes gegen den unlauteren Wettbewerb in Österreich (UWG)).

Die wichtigste Voraussetzung ist die Ergreifung angemessener Maßnahmen zum Schutz von Geschäftsgeheimnissen (§ 2 Abs. 1 Nr. 1 GeschGehG). Deren Fehlen kann erhebliche Folgen nach sich ziehen:

  • Technische und organisatorische Schutzmaßnahmen – Zu den Schutzmaßnahmen gehören technische (z. B. Passwortschutz, regelmäßige Hard- und Softwareupdates) sowie organisatorische (Berechtigungskonzepte und Vertraulichkeitsvereinbarungen) Maßnahmen.
  • Verlust von Geschäftsgeheimnissen – Fehlen die Schutzmaßnahmen, drohen Niederlagen vor Gericht, wenn Mitbewerber oder Ex-Mitarbeiter interne Information oder Know-How nutzen (die in dem Fall auch straffrei ausgehen).
  • Persönliche Haftung – Geschäftsführer und Compliance-Verantwortliche müssen mit persönlicher Haftung rechnen, wenn sie keine erforderlichen Schutzmaßnahmen ergriffen und z. B. keine Vertraulichkeitsvereinbarungen geschlossen haben.
  • Geltung für andere Länder: Die mit unserem Generator erstellte Vertraulichkeitsverpflichtung basiert auf dem EU-Recht. Jedoch kann sie nach derzeitigem Stand gerade aufgrund des gesetzlichen Verpflichtungsumfangs, der über klassische NDAs hinausgeht, auch außerhalb der EU, z. B. in der Schweiz eingesetzt werden.

Warum bei NDA-Mustern im Internet Vorsicht geboten ist

Im Internet findet sich eine Vielzahl von NDA-Mustern, die Sie jedoch auf die folgenden Punkte überprüfen sollten:

  • US-Recht oder EU-Recht? – Viele der NDAs sind nach angelsächsischen Recht gestaltet und berücksichtigen nicht die Voraussetzungen des Geschäftsgeheimnisschutzes.
  • “Catch-All-Klauseln” – NDAs erhalten klassischerweise “alles was nicht öffentlich ist, ist ein Geschäftsgeheimnis”-Klauseln (sog. “Catch-All-Klauseln”). Der EU-Geschäftsgeheimnisschutz fordert jedoch, dass die Geschäftsgeheimnisse möglichst genau umschrieben werden (vgl. LAG Düsseldorf, 03.06.2020 – 12 SaGa 4/20; LAG Köln, Urteil vom 2.12.2019 – 2 SaGa 20/19). Mit unserem Generator können Sie die einzelnen Arten von Geschäftsgeheimnissen wählen oder auch selbst ergänzen.
  • Ausschluss von Reverse Engineering – Der EU-Geheimnisschutz erlaubt ausdrücklich das Reverse Engineering, also das „Beobachten, Untersuchen und Rückbauen” von z. B. Geräten, Soft- oder Hardware (§ 3 Abs. 1 Nr. 2 GeschGehG-D oder § 26d Abs. 2 Nr. 2 UWG-AT). Daher sollte das Reverse Engineering, wie mit unserem Generator möglich, ausdrücklich ausgeschlossen werden.
  • Personenbezogene Daten – NDAs sollen klassischerweise nur Geschäftsgeheimnisse schützen. Sie berücksichtigen daher, anders als unser Generator, nicht den Schutz der personenbezogener Daten (Art. 4 Nr. 1 DSGVO). D. h. Sie werden häufig noch eine zusätzliche Vertraulichkeitsverpflichtung abschließen müssen, wenn Ihr Dienstleister oder Geschäftspartner im Rahmen der Geschäftsbeziehung mit personenbezogenen Daten in Verbindung kommen kann. Unser Generator berücksichtigt dagegen sowohl Geschäftsgeheimnisse, wie auch personenbezogene Daten.

Unser Generator berücksichtigt die aktuelle Rechtslage und Rechtsprechung und erlaubt Ihnen zudem individuelle Anpassungen, z. B. im Hinblick auf die Vereinbarung einer Vertragsstrafe. Nachfolgend erfahren Sie die wichtigsten Hinweise zu seiner Benutzung.

Vorab: Tipps bei Fragen

Falls Sie Fragen haben, empfehle ich Ihnen einen Blick in die Erläuterungen, die Sie bei den einzelnen Modulen finden. Dort erhalten Sie Hinweise, Anleitungen und Tipps zu den jeweiligen Modulen.

1. Premiumbereich für Kunden

Der Premiumbereich steht Geschäftskunden zur Verfügung, die einen “Lizenzschlüssel für die Vertraulichkeitsverpflichtung von Geschäftspartnern und Dienstleistern” erworben haben (Produkt folgt). Sie können dort die gespeicherte Vereinbarung zwecks Bearbeitung laden (Anleitung) oder auswählen, ob Sie die Vereinbarung mit oder ohne unser unserer Siegel nutzen möchten.

Wenn Sie darüber hinaus rechtliche Fragen und Wünsche haben, erstelle ich Ihnen gerne ein Angebot für eine persönliche Beratung.

Ferner können Sie auch die Speicherfunktion zur künftigen Bearbeitung Ihrer Hinweise nutzen (Anleitung).

2. Schnellauswahl Ihrer Module

Die von unserem Generator erstellten Rechtsdokumente werden aus einer Vielzahl von Modulen zusammengestellt. In der Schnellauswahl können Sie die wichtigsten Module und Optionen schnell auswählen.

Wir haben für Sie bereits Module vorausgewählt, die nach unserer Erfahrung am häufigsten gewählt werden und deren Auswahl für die meisten Nutzer*innen zu empfehlen ist.

Nach der Schnellauswahl können Sie im zweiten Schritt die Angaben zur Person oder Unternehmen eingeben. Ferner können Sie Ihre Schnellauswahl noch verfeinern.

Angaben zu dem Informationsinhaber und dem Informationsempfänger

Die Bezeichnungen der Parteien kann an sich frei festgelegt werden. Da der Schwerpunkt dieser Vereinbarung der Schutz von Geschäftsgeheimnissen ist, orientiert sich der Wortlaut an der EU-Richtlinie zum Schutz von Geschäftsgeheimnissen (Artikel 2 Nr. 2 Richtlinie (EU) 2016/943).

In der Richtlinie werden die Begriffe “Inhaber von Geschäftsgeheimnissen” oder “Trade Secret Holder” verwendet. Da diese Vereinbarung jedoch neben dem Schutz von Geschäftsgeheimnissen (als Primärfunktion), Sie bei der Erfüllung der Pflicht zum Schutz von personenbezogenen Daten gem. Art. 29 DSGVO (mit) unterstützen soll, werden neutrale Begriffe verwendet, die alle Arten von Informationen umfassen sollen. Das sind je nach Sprache “Informationsinhaber” und “Information Holder”, bzw. “Informationsempfänger” und “Recipient” (im deutschen ist der Begriff “Empfänger” weniger eindeutig, weshalb “Informationsempfänger” verwendet wird).

Präambel

Eine Präambel ist gesetzlich nicht erforderlich. Allerdings hilft sie Ihren Mitarbeiter*innen zu verstehen, warum sie die Verpflichtungserklärung unterschreiben müssen und wie sie aufgebaut ist.

Vertraulichkeits-, Schutz-, und Informationspflichten

Der Kern dieser Vereinbarung ist die Verpflichtung der Informationsempfänger auf die Beachtung konkreter Schutzpflichten. Das hat zwei Vorteile: Je genauer die Informationsempfänger über die Schutzpflichten aufgeklärt sind,

  1. desto eher werden sie die Schutzpflichten beachten;
  2. desto eher wird ein Verstoß gegen die Schutzpflichten als Verschulden des Informationsempfängers gewertet;
  3. desto eher wird man dem Informationsinhaber fehlende Beachtung von eigenen Sorgfaltspflichten vorwerfen können (z. B. wenn es um Bußgelder wegen Organisationsverschuldens geht oder bei der Frage ob ein Geschäftsgeheimnis hinreichend geschützt war).

In diesem Zusammenhang sind insbesondere die folgenden Punkte zu beachten (die bereits vorausgewählt sind):

Zweckbindungsgrundsatz

Ausschluss von Reverse Engineering

Einhaltung von Plattform-AGB und Entwicklervorgaben

Beauftragung von Subunternehmern (und anderen Dritten)

Häufig setzen Dienstleister auch selbst Subunternehmer oder sonstige dritte Personen oder Unternehmen ein (kurz “Dritte”). Dabei müssen, je nach Art der bezogenen Leistungen, die Vertraulichkeitspflichten weitergegeben werden.

Sofern die Dritten den Informationsempfänger dabei bei der Verarbeitung der zu schützenden Informationen unterstützen, müssen sie von dem Informationsempfänger genauso auf Vertraulichkeit verpflichtet werden, wie er selbst gegenüber dem Informationsinhaber verpflichtet ist (z. B. wenn ein IT-Dienstleister Subunternehmer beschäftigt).

Werden die Dritten nur mit Nebenleistungen beauftragt, in deren Rahmen sie mit den vertraulichen Informationen in Verbindung kommen können (z. B. Reinigungskräfte, Fahrer, Sicherheitsdienst), dann muss der Informationsempfänger “nur” sicherstellen, dass das Sicherheitsniveau eingehalten wird (z. B. durch einfache Verpflichtungen auf Vertraulichkeit in den Verträgen mit Reinigungs- oder Sicherheitsunternehmen).

Vertragsstrafenvereinbarung

Die Vereinbarung einer Vertragsstrafe hat den Vorteil, dass kein konkreter Schaden nachgewiesen werden muss. In der Praxis hat sie vor allem eine abschreckende Wirkung und zwingt die Vertragspartner zu höherer Vorsicht.

Eine Vertragsstrafe sollte vor allem dann vereinbart werden, wenn sich ein besonders hohes Risiko eines Verstoßes gegen den Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen besteht. Auch, wenn z.B. ein Datenschutzverstoß seitens des Geschäftspartners erfolgen sollte, wird eine Vertragsstrafenvereinbarung positiv zu Ihren Gunsten ausgelegt.

Um wirksam zu sein, müssen Vertragsstrafen jedoch die folgenden Voraussetzungen erfüllen.

  1. Transparenz – die Voraussetzungen müssen klar, Verstöße erkennbar und vermeidbar sein.
  2. Der Höhe nach angemessen – Die Höhe der Vertragsstrafe ist anhand des Risikos, der Eintrittswahrscheinlichkeit, möglicher Schäden und des Grades des Verschuldens des Vertragsstrafenschuldners zu bestimmen.
  3. Verschuldensabhängig – Eine Vertragsstrafe ohne Verschulden, würde bedeuten dass der Vertragsstrafenschuldner auch für eine zufällige Offenbarung von vertraulichen Informationen verantwortlich wäre. Eine derartige Garantiehaftung ist grundsätzlich unwirksam und sollte in Spezialfällen gesondert als eine Individualabrede vereinbart werden.

Um diese Voraussetzungen zu erfüllen und nicht zu riskieren, dass die Vertragsstrafe insgesamt als unzulässig beurteilt wird, ist deren Regelung in unserem Generator in mehrere Stufen unterteilt.

Sie können z.B. eine Vertragsstrafe vorab festlegen, z.B. 10.000 Euro. Sollte ein Gericht diese Vertragsstrafe für unangemessen halten, dann wird immer noch die allgemeine Regelung für die Festlegung von Vertragsstrafen greifen.

Eine feste Vertragsstrafe festzulegen hat den Vorteil, dass ein Vertragsstrafenschuldner zwei Hindernisse argumentativ zu nehmen hat. Zum einen warum z. B. 10.000 Euro nicht angemessen ist und zum anderen, warum die von Ihnen sonst festgelegte Strafe nicht angemessen ist.

Laufzeit und Pflichten nach Vertragsende

Im Regelfall wird ein NDA mit dem Ende der Geschäftsbeziehung beendet. Das heißt aber nicht, dass damit seine Wirkung enden sollte. Ganz im Gegenteil sollte ausdrücklich vereinbart werden, dass die Vertraulichkeitspflichten solange gelten, wie die Informationen vertraulich sind.

Alternativ kann auch gleich vereinbart werden, dass eine NDA erst 1 bis X Jahre nach dem Ende der Geschäftsbeziehung nicht mehr gilt. Das ist Geschmackssache, grundsätzlich wird die Schutzwirkung stärker sein, auch wenn dieses Mehr in der Praxis ein kaum relevantes Quäntchen sein kann.

Geltendes Recht, Gerichtsstandort und Schlussbestimmungen

Wenn der Informationsgeber und der Informationsempfänger aus unterschiedlichen Ländern kommen, dann ist es sinnvoll das geltende Recht zu vereinbaren, welches dann gelten soll. Man kann aber auch das Gesetz bestimmen lassen, was wiederum durch internationale Vereinbarungen bestimmt wird.

Im Regelfall gibt der Informationsinhaber, der auch im Regelfall das NDA stellt, vor, dass das Recht seines Landes gilt. Am Ende zählt aber letztendlich, welche Vertragspartei eher die Regeln diktiert. Das ist dann die Frage der wirtschaftlichen Position und des Verhandlungsgeschicks.

Der Gerichtsstandort ist ebenfalls relevant, denn er bestimmt, am Ort welcher Vertragspartei ein eventueller Rechtsstreit ausgetragen wird. Das kann vor allem Reisekosten für die Vertragsparteien und deren Rechtsanwälte sparen. Hier gilt das zum geltenden Recht gesagte, d.h. grundsätzlich ist es der (Wohn)Sitz des Informationsinhabers.

Änderungen

Bei den Änderungen kann man die schriftliche, also “Papier”-Form zwar vereinbaren, für die Praxis genügt jedoch im Regelfall die elektronische Form, d.h. vor allem Vereinbarungen via E-Mail.

Salvatorische Klausel

Wenn Verträge auch nur in Teilen unwirksam sind, dann sind sie grundsätzlich ganz unwirksam (vgl. § 139 BGB-DE). Es sei denn, man kann mutmaßen, dass die Vertragsparteien die Verträge zumindest in Teilen aufrechterhalten wollten.

Da Mutmaßungen im Recht jedoch gefährlich sind, soll die so genannte “Salvatorische Klausel” regeln, dass im Fall, dass dieses NDA unwirksam ist, die Regelungen so weit wie möglich fortgelten sollen. Dann werden etwaige Vertragslücken entsprechend dem mutmaßlichen Willen der Vertragsparteien ausgelegt.

Unterschriftsfelder

Eine Unterschrift ist nur dann notwendig, wenn die Vertraulichkeitsverpflichtung in Papierform vorliegt (auch wenn sie als Scan zum Ausdrucken unterschrieben verschickt wird) und unterschrieben werden soll – was der Regelfall sein dürfte.

Erlaubt wäre aber auch eine Bestätigung per E-Mail oder eine protokollierte Bestätigung, z.B. per Schaltfläche auf einer Webseite im unternehmensinternen Intranet.

Anhang: Definitionen von vertraulichen Informationen und Geschäftsgeheimnissen

Es ist vom Vorteil zu beschreiben, was vertrauliche Informationen sind. Damit steigt die Transparenz der Vereinbarung und damit zugleich deren Rechtssicherheit und Gerichtsfestigkeit. Dies ist vor allem relevant, wenn es um die Frage gehen sollte, ob Sie genug für den Schutz von Geschäftsgeheimnissen oder personenbezogenen Daten getan haben.

Arten von Geschäftsgeheimnissen

Auch wenn man durchaus auf die gesetzlichen Definitionen von Geschäftsgeheimnissen (z.B. § 2 Nr. 1 GeschGehG-D oder § 26b UWG-AT) oder die entsprechende Rechtsprechung verweisen könnte, ist eine möglichst genaue Benennung der Geschäftsgeheimnisse von Vorteil.

Sie können sich auf den Schutz von Geheimnissen je eher berufen, je genauer Sie die Geschäftspartner über deren Existenz oder Umfang aufgeklärt haben.

Ausnahmen vom Schutz als Geschäftsgeheimnis

Obwohl Gesetze (z.B. § 3 GeschGehG-D oder § 26d UWG-AT) oder die entsprechende Rechtsprechung Ausnahmen von Geschäftsgeheimnissen definieren, ist es zu empfehlen, die Beschäftigten auch über deren Grenzen aufzuklären.

Denn je besser die Geschäftspartner ein Geschäftsgeheimnis bestimmen können, desto wirksamer ist der Schutz der Geschäftsgeheimnisse.

Verarbeitung personenbezogener Daten

Es ist zu empfehlen zur Sicherheit zumindest kurz auch darüber aufzuklären, was personenbezogene Daten sind, damit sich der Informationsempfänger nicht auf Unkenntnis berufen kann.

Unterschriftsfelder in der Anlage

Über die Frage, ob eine Unterschrift auch unter der im Haupttext einbezogenen Anlage notwendig ist, kann man sich trefflich streiten. Aber zur Sicherheit ist die zusätzliche Unterschrift empfohlen, falls z. B. ein Vertragspartner behaupten sollte, die Anlage nicht erhalten zu haben.