Diese Geheimhaltungsvereinbarung wird geschlossen zwischen der im Impressum genannten Gesellschaft (nachfolgend „Dienstleister“) und einem öffentlichen Auftraggeber, einer Behörde, einem kommunalen Träger, einer öffentlich-rechtlichen Körperschaft oder einer sonstigen öffentlichen Institution (nachfolgend „Behörde“).
Sie regelt den vertraulichen Umgang mit Informationen, die im Rahmen von Gesprächen, Abstimmungen, technischen Prüfungen oder Projektanbahnungen ausgetauscht werden.
1. Zweck der Vereinbarung
Diese Vereinbarung verfolgt das Ziel, den Schutz vertraulicher Informationen sicherzustellen, die im Rahmen der Zusammenarbeit zwischen Dienstleister und Behörde offengelegt werden. Die Weitergabe von Informationen erfolgt ausschließlich zum Zweck der Bewertung, Planung, Vorbereitung oder Durchführung eines Projekts oder einer möglichen Zusammenarbeit.
Die NDA gilt unabhängig davon, ob es später zum Abschluss eines Vertrags kommt.
2. Begriffsbestimmungen
Vertrauliche Informationen sind alle Informationen, die nicht öffentlich zugänglich sind und die im Rahmen der Kommunikation zwischen den Parteien zur Verfügung gestellt werden. Dazu gehören technische Unterlagen, interne Prozesse, Verfahrensbeschreibungen, Datenmodelle, KI-Modelle, Architekturen, Quelltexte, Strategien, Schulungsunterlagen, Kalkulationsgrundlagen, Nutzerkonzepte sowie Informationen über Struktur, Prozesse und technische Systeme der Behörde.
Nicht vertrauliche Informationen sind solche, die
a) bereits öffentlich bekannt sind,
b) der empfangenden Partei bereits vor Offenlegung bekannt waren,
c) rechtmäßig von Dritten ohne Vertraulichkeitsbindung erhalten wurden,
d) von der empfangenden Partei selbständig und ohne Bezug zu vertraulichen Informationen entwickelt wurden.
Klassifizierte Informationen im Sinne dieser Vereinbarung sind insbesondere Daten und Vorgänge der Einstufung VS-NfD sowie höher eingestufte Verschlusssachen. Diese dürfen vom Dienstleister nicht entgegengenommen, verarbeitet oder gespeichert werden.
3. Ausschluss klassifizierter oder sicherheitsrelevanter Daten
Der Dienstleister verarbeitet ohne besonderen Zusatzvertrag keine klassifizierten Informationen (VS-NfD oder höher) und keine Inhalte, deren Offenlegung die Funktionsfähigkeit der öffentlichen Verwaltung, die innere Sicherheit oder laufende Ermittlungsverfahren gefährden könnte.
Ohne Zusatzvertrag ist insbesondere ausgeschlossen:
– Verarbeitung von geheimschutzrelevanten Dokumenten oder Informationen,
– Verarbeitung gerichtssensibler Vorgänge, Ermittlungsakten oder disziplinarischer Sachverhalte,
– Verarbeitung von Daten, die gesetzlichen Geheimhaltungspflichten unterliegen und nur in gesicherten Netzen übertragen werden dürfen.
Die Behörde stellt sicher, dass keine der genannten Informationen übermittelt werden, solange hierfür keine zusätzliche Vereinbarung besteht.
4. Pflichten der empfangenden Partei
Beide Parteien verpflichten sich, vertrauliche Informationen streng vertraulich zu behandeln und ausschließlich für den definierten Zweck zu verwenden.
Die empfangende Partei hat alle angemessenen organisatorischen und technischen Maßnahmen zu ergreifen, um die Informationen vor unbefugter Einsichtnahme zu schützen. Dazu gehören sichere Passwortnutzung, Zugriffsbegrenzungen und interne Berechtigungskonzepte.
Vertrauliche Informationen dürfen nur solchen Beschäftigten zugänglich gemacht werden, die diese zur Erfüllung ihrer Aufgaben benötigen und die ebenfalls zur Vertraulichkeit verpflichtet sind.
5. Besondere Anforderungen an den Dienstleister
Der Dienstleister verpflichtet sich darüber hinaus:
- technische und organisatorische Sicherheitsmaßnahmen entsprechend BSI-Grundschutz und branchenüblichen Standards zu verwenden,
- vertrauliche Daten ausschließlich innerhalb der EU zu verarbeiten,
- Zugänge, Schlüssel und interne Systeme so zu sichern, dass unbefugte Zugriffe ausgeschlossen sind,
- Datenübertragungen nur über sichere und verschlüsselte Kanäle vorzunehmen,
- keine Daten an Dritte weiterzugeben, es sei denn, dies ist vertraglich ausdrücklich vereinbart oder gesetzlich vorgeschrieben.
Sollte der Dienstleister Subunternehmer einsetzen, wird deren Einhaltung dieser Vereinbarung vertraglich sichergestellt. Subunternehmer dürfen nur mit vorheriger ausdrücklicher Zustimmung der Behörde eingebunden werden.
6. Behördliche Offenlegungsverpflichtungen
Behörden unterliegen gesetzlichen Verpflichtungen (z. B. Informationsfreiheitsgesetzen, Akteneinsichtspflichten, Verwaltungsverfahrensrecht).
Sofern die Behörde gesetzlich verpflichtet ist, Informationen offenzulegen, informiert sie den Dienstleister – soweit rechtlich zulässig – unverzüglich über Art und Umfang der geplanten Offenlegung.
Diese Vereinbarung kann behördliche Pflichten nicht außer Kraft setzen.
7. Laufzeit der Vertraulichkeit
Die Verpflichtungen zur Vertraulichkeit gelten ab dem Zeitpunkt des ersten Informationsaustauschs und bleiben auch nach Abschluss oder Abbruch eines Projekts bestehen.
Die Laufzeit beträgt mindestens fünf Jahre, sofern keine längere Frist vereinbart oder gesetzlich vorgeschrieben ist.
8. Rückgabe und Löschung
Die empfangende Partei ist verpflichtet, vertrauliche Informationen auf Anforderung der offenlegenden Partei zurückzugeben oder nachweislich sicher zu löschen.
Dies gilt nicht, soweit gesetzliche Aufbewahrungspflichten bestehen. In diesen Fällen werden die Informationen während der Aufbewahrungsfrist weiterhin vertraulich behandelt und anschließend gelöscht.
9. Haftung
Die empfangende Partei haftet für Pflichtverletzungen gemäß den gesetzlichen Regelungen.
Der Dienstleister übernimmt keine Haftung für Schäden, die durch Einbringung nicht zulässiger oder klassifizierter Informationen entstehen, wenn die Behörde gegen die in Abschnitt 3 definierten Ausschlüsse verstößt.
10. Kein Anspruch auf Vertragsabschluss
Diese Vereinbarung begründet keine Verpflichtung zur Vergabe eines Auftrages, zur Durchführung eines Projekts oder zum Abschluss eines weiteren Vertragsverhältnisses.
Sie dient ausschließlich dem Schutz vertraulicher Informationen während der Kommunikationsphase.
11. Schlussbestimmungen
Sollte eine Bestimmung dieser Vereinbarung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anstelle der unwirksamen Regelung tritt eine solche, die dem wirtschaftlichen Zweck möglichst nahekommt.
Es gilt ausschließlich das Recht der Bundesrepublik Deutschland.
Gerichtsstand ist – soweit rechtlich zulässig – der Sitz des Dienstleisters.
