Geheimhaltungsvereinbarung (NDA): Vorlage und worauf es ankommt

Warum eine NDA mehr ist als ein Standardformular

Geheimhaltungsvereinbarungen (Non-Disclosure Agreements, NDAs) gehören zum Alltag der Geschäftswelt. Bevor du einem potenziellen Partner deine Produktstrategie erklärst, bevor ein Berater Einblick in deine Finanzdaten bekommt, bevor ein Bewerber im Vorstellungsgespräch von internen Projekten erfährt, wird eine NDA unterschrieben. So weit die Theorie.

In der Praxis werden NDAs oft als lästiger Formalakt behandelt. Ein Standardformular wird aus dem Internet heruntergeladen, kurz überflogen und unterschrieben. Dabei sind NDAs seit dem Geschäftsgeheimnisgesetz (GeschGehG) von 2019 weit mehr als eine Formalität: Sie sind ein elementarer Baustein des Geheimnisschutzes und eine Voraussetzung dafür, dass deine vertraulichen Informationen überhaupt als Geschäftsgeheimnisse anerkannt werden.

Das Geschäftsgeheimnisgesetz: Warum NDAs Pflicht sind

Das GeschGehG hat den Schutz von Geschäftsgeheimnissen in Deutschland grundlegend neu geregelt. Vor 2019 genügte es, wenn du den Willen hattest, eine Information geheim zu halten. Seit dem GeschGehG musst du nachweisen, dass du angemessene Geheimhaltungsmaßnahmen getroffen hast. Ohne diese Maßnahmen ist eine Information kein Geschäftsgeheimnis im Sinne des Gesetzes und genießt keinen Schutz.

Was ein Geschäftsgeheimnis ausmacht

Nach § 2 GeschGehG ist ein Geschäftsgeheimnis eine Information, die nicht allgemein bekannt oder ohne Weiteres zugänglich ist, die einen wirtschaftlichen Wert hat, gerade weil sie geheim ist, und die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist.

Der dritte Punkt ist entscheidend: Du musst aktiv etwas tun, um die Information zu schützen. NDAs sind eine der wichtigsten Maßnahmen, die das GeschGehG als "angemessen" anerkennt. Aber sie sind nicht die einzige. Ein vollständiges Schutzkonzept umfasst auch technische Maßnahmen (Zugangskontrollen, Verschlüsselung), organisatorische Maßnahmen (Klassifikation, Need-to-know-Prinzip) und vertragliche Maßnahmen (NDAs, Arbeitsverträge mit Vertraulichkeitsklauseln).

Was passiert ohne angemessene Maßnahmen

Wenn du keine angemessenen Schutzmaßnahmen triffst, verliert deine Information den Status als Geschäftsgeheimnis. Das hat dramatische Konsequenzen: Du kannst niemanden daran hindern, die Information zu nutzen oder weiterzugeben, weil sie rechtlich nicht als geschützt gilt. Du kannst keine Unterlassungs- oder Schadensersatzansprüche geltend machen, auch wenn die Information offensichtlich vertraulich war. Und du kannst keine strafrechtlichen Konsequenzen durchsetzen, weil § 23 GeschGehG nur den Verrat von Geschäftsgeheimnissen unter Strafe stellt, und ohne angemessene Maßnahmen hast du eben keines.

Wann du eine NDA brauchst

NDAs sind in vielen Situationen sinnvoll. Die häufigsten Anwendungsfälle sind:

Geschäftsanbahnung: Bevor du einem potenziellen Kunden oder Partner vertrauliche Informationen über dein Produkt, deine Technologie oder dein Geschäftsmodell offenlegst.

Dienstleisterbeauftragung: Bevor ein externer Dienstleister (IT-Berater, Unternehmensberater, Wirtschaftsprüfer, Rechtsanwalt) Zugang zu vertraulichen Unternehmensdaten erhält. Welche IT-Sicherheitsklauseln darüber hinaus in den Vertrag gehören, hängt vom Leistungsumfang ab. Manche Berufsgruppen unterliegen ohnehin einer gesetzlichen Verschwiegenheitspflicht, aber eine zusätzliche NDA schadet nicht und konkretisiert den Schutzumfang.

Bewerbungsgespräche: Wenn im Bewerbungsprozess vertrauliche Informationen offengelegt werden (z. B. Einblick in interne Systeme, strategische Planungen). Das ist besonders relevant, wenn der Bewerber von einem Wettbewerber kommt.

Kooperationen und Joint Ventures: Bei der gemeinsamen Entwicklung von Produkten oder der Zusammenarbeit in Projekten, bei denen beide Seiten vertrauliche Informationen einbringen.

Unternehmensverkauf (M&A): Im Rahmen der Due Diligence erhalten potenzielle Käufer tiefe Einblicke in die Finanzen, Verträge und Strukturen des Unternehmens.

Mitarbeiter: Auch Arbeitsverträge sollten Vertraulichkeitsklauseln enthalten. Eine separate NDA kann sinnvoll sein, wenn Mitarbeiter Zugang zu besonders sensiblen Informationen erhalten (z. B. Forschungsergebnisse, Prototypen, M&A-Pläne).

Einseitig oder gegenseitig?

Einseitige NDA (Unilateral NDA)

Eine einseitige NDA schützt nur die Informationen einer Partei. Die offenlegende Partei (Disclosing Party) gibt vertrauliche Informationen an die empfangende Partei (Receiving Party) weiter, die zur Geheimhaltung verpflichtet wird.

Typische Anwendungsfälle: Dienstleisterbeauftragung (du offenbarst, der Dienstleister schützt), Bewerbungsgespräche (du offenbarst, der Bewerber schützt) und Due Diligence bei Unternehmensverkauf (der Verkäufer offenbart, der Käufer schützt).

Gegenseitige NDA (Mutual NDA)

Eine gegenseitige NDA schützt die vertraulichen Informationen beider Parteien. Beide sind sowohl offenlegende als auch empfangende Partei.

Typische Anwendungsfälle: Kooperationen und Partnerschaften, gemeinsame Produktentwicklung und Geschäftsanbahnung, bei der beide Seiten Informationen austauschen.

In der Praxis bevorzugen viele Unternehmen gegenseitige NDAs, auch wenn nur eine Seite vertrauliche Informationen offenbart, weil sie als "fairer" empfunden werden und die Verhandlung erleichtern.

Kernbestandteile einer NDA

1. Parteien und Präambel

Identifiziere die Vertragsparteien präzise (vollständiger Name, Rechtsform, Sitz, Handelsregisternummer). Die Präambel beschreibt den Zweck der NDA und den Kontext der Zusammenarbeit.

Musterformulierung: "Die Parteien beabsichtigen, über eine mögliche Zusammenarbeit im Bereich [Beschreibung] zu verhandeln. Im Rahmen dieser Verhandlungen werden vertrauliche Informationen ausgetauscht. Diese Vereinbarung regelt den Schutz dieser Informationen."

2. Definition vertraulicher Informationen

Die Definition ist das Herzstück der NDA. Sie muss weit genug sein, um alle schützenswerten Informationen zu erfassen, und konkret genug, um durchsetzbar zu sein.

Musterformulierung: "Vertrauliche Informationen im Sinne dieser Vereinbarung sind sämtliche Informationen, die eine Partei (offenlegende Partei) der anderen Partei (empfangende Partei) im Zusammenhang mit [Zweck] mündlich, schriftlich, elektronisch oder in sonstiger Weise offenlegt oder zugänglich macht, einschließlich, aber nicht beschränkt auf: technische Informationen (Spezifikationen, Algorithmen, Quellcode, Designs), geschäftliche Informationen (Geschäftspläne, Finanzinformationen, Kundenlisten, Preisgestaltung), organisatorische Informationen (Prozesse, Strukturen, Personalplanung) und alle davon abgeleiteten Informationen (Zusammenfassungen, Analysen, Notizen)."

Markierungspflicht oder nicht? Manche NDAs verlangen, dass vertrauliche Informationen als solche gekennzeichnet werden (z. B. durch den Stempel "Vertraulich"). Das hat Vor- und Nachteile. Vorteil: Klarheit, was vertraulich ist und was nicht. Nachteil: Informationen, die nicht markiert werden (z. B. mündliche Mitteilungen), fallen möglicherweise nicht unter die NDA. Empfehlung: Ergänze, dass auch nicht markierte Informationen vertraulich sind, wenn sie nach den Umständen erkennbar vertraulich sind.

3. Ausnahmen

Bestimmte Informationen sollten vom Schutz ausgenommen sein, weil sie keiner Geheimhaltung bedürfen.

Musterformulierung: "Nicht als vertraulich gelten Informationen, die (a) zum Zeitpunkt der Offenlegung bereits öffentlich bekannt sind oder danach ohne Verschulden der empfangenden Partei öffentlich bekannt werden, (b) der empfangenden Partei vor Offenlegung bereits rechtmäßig bekannt waren, (c) der empfangenden Partei von einem Dritten ohne Verstoß gegen Geheimhaltungspflichten offengelegt werden, oder (d) von der empfangenden Partei unabhängig und ohne Nutzung vertraulicher Informationen entwickelt wurden."

Die Beweislast für das Vorliegen einer Ausnahme liegt bei der empfangenden Partei. Das sollte in der NDA klargestellt werden.

4. Pflichten der empfangenden Partei

Die empfangende Partei verpflichtet sich, die vertraulichen Informationen geheim zu halten und nur für den vereinbarten Zweck zu verwenden.

Musterformulierung: "Die empfangende Partei verpflichtet sich, (a) die vertraulichen Informationen ausschließlich für den in der Präambel genannten Zweck zu verwenden, (b) die vertraulichen Informationen mit mindestens derselben Sorgfalt zu schützen, die sie auf ihre eigenen vertraulichen Informationen anwendet, mindestens jedoch mit angemessener Sorgfalt, (c) den Zugang zu vertraulichen Informationen auf diejenigen Mitarbeiter und Berater zu beschränken, die diese für den vereinbarten Zweck benötigen (Need-to-know-Prinzip), (d) sicherzustellen, dass diese Mitarbeiter und Berater einer vergleichbaren Geheimhaltungsverpflichtung unterliegen."

5. Weitergabe an Dritte

Definiere, unter welchen Bedingungen vertrauliche Informationen an Dritte weitergegeben werden dürfen.

Musterformulierung: "Die Weitergabe vertraulicher Informationen an Dritte bedarf der vorherigen schriftlichen Zustimmung der offenlegenden Partei. Hiervon ausgenommen ist die Weitergabe an Berater (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer), die ihrerseits einer gesetzlichen oder vertraglichen Verschwiegenheitspflicht unterliegen."

6. Laufzeit und Nachlaufzeit

Die Laufzeit der NDA definiert den Zeitraum, in dem vertrauliche Informationen ausgetauscht werden. Die Nachlaufzeit definiert, wie lange die Geheimhaltungspflicht nach Ende der Laufzeit fortbesteht.

Typische Laufzeiten: Die Austauschphase dauert je nach Projekt 6 bis 24 Monate. Die Nachlaufzeit für die Geheimhaltungspflicht beträgt typischerweise 2 bis 5 Jahre nach Ende der Laufzeit. Bei besonders sensiblen Informationen (z. B. Geschäftsgeheimnisse mit langem wirtschaftlichem Wert) kann eine unbefristete Nachlaufzeit vereinbart werden.

Musterformulierung: "Diese Vereinbarung tritt mit Unterzeichnung in Kraft und gilt für einen Zeitraum von [X] Monaten. Die Geheimhaltungspflichten überdauern das Ende dieser Vereinbarung um [Y] Jahre."

7. Rückgabe- und Löschungspflichten

Am Ende der Zusammenarbeit müssen vertrauliche Informationen zurückgegeben oder vernichtet werden.

Musterformulierung: "Auf Verlangen der offenlegenden Partei oder bei Beendigung dieser Vereinbarung gibt die empfangende Partei sämtliche vertraulichen Informationen einschließlich aller Kopien, Zusammenfassungen und Aufzeichnungen zurück oder vernichtet sie nachweislich. Die empfangende Partei bestätigt die Rückgabe oder Vernichtung schriftlich. Hiervon ausgenommen sind Kopien, die aufgrund gesetzlicher Aufbewahrungspflichten aufbewahrt werden müssen."

8. Vertragsstrafe

Eine Vertragsstrafe ist der Schlüssel zur Durchsetzbarkeit. Ohne sie ist die NDA bei Verstößen nur schwer sanktionierbar, weil der Nachweis eines konkreten Schadens durch Vertraulichkeitsverletzungen extrem schwierig ist.

Musterformulierung: "Für jeden Fall der schuldhaften Verletzung der Vertraulichkeitspflichten aus dieser Vereinbarung verpflichtet sich die empfangende Partei zur Zahlung einer Vertragsstrafe in Höhe von [Betrag] Euro. Die Geltendmachung weitergehender Schadensersatzansprüche bleibt unberührt. Auf die Vertragsstrafe werden nachgewiesene Schäden angerechnet."

Die Höhe der Vertragsstrafe muss angemessen sein. Zu hohe Vertragsstrafen können von Gerichten herabgesetzt werden (§ 343 BGB). Orientiere dich am wirtschaftlichen Wert der geschützten Information und am Umfang der Zusammenarbeit. Typische Beträge liegen zwischen 10.000 und 100.000 Euro pro Verstoß.

9. Gerichtsstand und anwendbares Recht

Musterformulierung: "Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus dieser Vereinbarung ist [Stadt]."

Typische Fehler bei NDAs

Zu vage Definition vertraulicher Informationen: "Alle Informationen, die im Rahmen der Zusammenarbeit ausgetauscht werden" ist zu unbestimmt. Konkretisiere, welche Arten von Informationen gemeint sind.

Keine Ausnahmen definiert: Ohne Ausnahmen für öffentlich bekannte Informationen und unabhängige Entwicklung kann die NDA unverhältnismäßig breit sein und ist schwer durchsetzbar.

Keine Vertragsstrafe: Ohne Vertragsstrafe hast du im Verstoßfall kaum Handhabe, weil du den konkreten Schaden nachweisen müsstest.

Zu kurze Nachlaufzeit: Wenn die Geheimhaltungspflicht sechs Monate nach Vertragsende endet, sind deine Geschäftsgeheimnisse danach schutzlos, obwohl ihr wirtschaftlicher Wert weiterbesteht.

Mündliche Informationen vergessen: Wenn die NDA nur schriftlich übermittelte Informationen schützt, fallen alle mündlichen Mitteilungen (z. B. in Meetings) heraus.

Keine Regelung für Unterauftragnehmer: Wenn der Vertragspartner Unterauftragnehmer einsetzt, müssen diese ebenfalls zur Geheimhaltung verpflichtet werden.

Standard-NDA für alle Fälle: Eine NDA für einen Bewerbungsprozess hat andere Anforderungen als eine NDA für eine Due Diligence. Passe die NDA an den konkreten Anwendungsfall an.

NDA durchsetzen: Was tun bei Verstößen?

Eine NDA ist nur so gut wie deine Bereitschaft und Fähigkeit, sie durchzusetzen. Wenn du einen Verstoß feststellst oder vermutest, solltest du systematisch vorgehen.

Beweise sichern: Dokumentiere den Verstoß so umfassend wie möglich: Was wurde offengelegt? An wen? Wann? Wie hast du davon erfahren? Sichere E-Mails, Screenshots, Zeugenaussagen und andere Belege. Grundlagen zur forensisch korrekten Beweissicherung helfen, die Nachweise gerichtsfest zu halten.

Rechtsanwalt einschalten: Bevor du den Vertragspartner konfrontierst, hole dir rechtliche Beratung. Ein Anwalt kann einschätzen, ob tatsächlich ein Verstoß vorliegt, welche Ansprüche du hast und wie du am besten vorgehst.

Abmahnung und Unterlassung: Im ersten Schritt wird der Vertragspartner typischerweise abgemahnt und zur Unterlassung aufgefordert. Gleichzeitig wird die Vertragsstrafe geltend gemacht, falls vereinbart.

Schadensersatz: Wenn ein konkreter Schaden entstanden ist, kannst du Schadensersatz verlangen. Der Nachweis des Schadens ist bei Vertraulichkeitsverletzungen allerdings oft schwierig, weshalb eine Vertragsstrafe so wichtig ist.

Einstweilige Verfügung: Wenn die Gefahr besteht, dass weitere vertrauliche Informationen offengelegt werden, kannst du eine einstweilige Verfügung beantragen, um die Weitergabe sofort zu stoppen. Das Gericht entscheidet darüber in der Regel innerhalb weniger Tage.

NDA und ISMS

Im Kontext deines ISMS ist die NDA ein Element des Informationsklassifikationssystems. Vertrauliche Informationen, die an Dritte weitergegeben werden, brauchen vertraglichen Schutz. Die ISO 27001 fordert in A.5.14 (Information Transfer) und A.5.19 (Information Security in Supplier Relationships), dass der Transfer vertraulicher Informationen an Dritte durch angemessene Vereinbarungen geschützt wird. Eine übergeordnete Informationssicherheitsrichtlinie bildet den Rahmen, in den sich die NDA-Verwaltung einordnet.

Führe ein Register aller aktiven NDAs: Wer hat mit wem eine NDA? Welche Informationen sind betroffen? Wann laufen Fristen ab? Wann müssen Rückgabepflichten erfüllt werden? In ISMS Lite lässt sich dieses Register zusammen mit den zugehörigen Lieferantenbewertungen und Vertragsdokumenten zentral pflegen. Dieses Register hilft dir, den Überblick zu behalten und rechtzeitig zu handeln, wenn eine NDA ausläuft oder ein Vertragspartner wechselt.

Integriere die NDA-Verwaltung in dein Lieferantenmanagement. Wenn du einen neuen Dienstleister beauftragst, gehört die NDA genauso zum Onboarding wie der Auftragsverarbeitungsvertrag und die Prüfung der Sicherheitsmaßnahmen. Und wenn ein Dienstleisterverhältnis endet, löst das automatisch die Rückgabe- und Löschungspflichten aus der NDA aus.

Weiterführende Artikel

• IT-Sicherheitsklauseln in Verträgen: Was du von Dienstleistern fordern solltest
• IT-Recht für Nicht-Juristen: Die wichtigsten Gesetze rund um Cybersicherheit
• Informationssicherheitsrichtlinie erstellen: Aufbau, Inhalte und Praxistipps
• Schutzbedarfsfeststellung: Vertraulichkeit, Integrität und Verfügbarkeit bewerten
• AVV prüfen und Dienstleister bewerten