Vertraulichkeitsvereinbarung (NDA) — Vorlage, Muster & DSGVO-Tipps

Eine Vertraulichkeitsvereinbarung — im internationalen Geschäftsverkehr als NDA (Non-Disclosure Agreement) bekannt — schützt sensible Geschäftsinformationen vor unbefugter Weitergabe. Ob bei Kooperationsverhandlungen, der Beauftragung externer Dienstleister oder im Arbeitsvertrag: Eine professionelle Vertraulichkeitsvereinbarung ist heute unverzichtbar.

In Zeiten verschärfter Datenschutzanforderungen muss eine NDA Vorlage nicht nur das Geschäftsgeheimnisgesetz (GeschGehG) berücksichtigen, sondern auch DSGVO-konform gestaltet sein — insbesondere wenn personenbezogene Daten Teil der vertraulichen Informationen sind. Ohne eine wirksame Geheimhaltungsvereinbarung riskieren Unternehmen den Verlust ihres Geheimnisschutzes nach § 2 GeschGehG.

Die DATUREX GmbH als externer Datenschutzbeauftragter unterstützt Unternehmen sachsenweit bei der Erstellung und Prüfung rechtskonformer Vertraulichkeitsvereinbarungen — von der ersten NDA Vorlage bis zur datenschutzrechtlichen Freigabe.

NDA Vorlage — Wesentliche Inhalte einer Vertraulichkeitsvereinbarung

Eine rechtssichere NDA Vorlage sollte folgende Bestandteile enthalten. Wir erläutern jeden Punkt im Detail, damit Sie Ihr NDA Muster professionell aufsetzen können:

1. Vertragsparteien

Vollständige Bezeichnung und Anschrift aller beteiligten Parteien, einschließlich vertretungsberechtigter Personen. Bei juristischen Personen: Firma, Sitz, Handelsregisternummer und Name des Vertretungsberechtigten. Wichtig: Auch natürliche Personen (z.B. Freelancer) müssen eindeutig identifiziert sein.

2. Definition vertraulicher Informationen

Die präzise Beschreibung, welche Informationen als vertraulich gelten, ist das Herzstück jeder Vertraulichkeitsvereinbarung. Je konkreter die Definition, desto besser die Durchsetzbarkeit vor Gericht:

• Technisches Know-how, Quellcode, Algorithmen und Architektur-Dokumentationen
• Geschäftsstrategien, Finanzinformationen, Kundenlisten und Preiskalkulationen
• Personenbezogene Daten — hier greift zusätzlich die DSGVO
• Prototypen, Entwürfe, Forschungsergebnisse und Patentanmeldungen
• Organisationsinterne Prozesse und Sicherheitskonzepte

Praxistipp: Verwenden Sie eine Kombination aus Kategorien und konkreten Beispielen. Eine rein abstrakte Definition wie „alle geschäftlichen Informationen“ ist vor Gericht schwer durchsetzbar.

3. Zweck der Offenlegung

Klare Benennung, wofür die vertraulichen Informationen genutzt werden dürfen. Dies ist sowohl vertragsrechtlich als auch datenschutzrechtlich wichtig: Der Zweck der Datenverarbeitung muss nach Art. 5 Abs. 1 lit. b DSGVO klar definiert und dokumentiert sein (Zweckbindungsgrundsatz).

4. Pflichten des Empfängers

• Geheimhaltungspflicht — keine Weitergabe an Dritte ohne schriftliche Zustimmung
• Beschränkung des Zugangs auf Personen, die die Informationen für den vereinbarten Zweck benötigen (Need-to-know-Prinzip)
• Implementierung angemessener technisch-organisatorischer Maßnahmen (TOM)
• Unverzügliche Benachrichtigungspflicht bei Vertraulichkeitsverletzungen
• Einhaltung einer Clean-Desk-Policy bei physischen Dokumenten

5. Ausnahmen von der Vertraulichkeit

• Bereits öffentlich bekannte oder allgemein zugängliche Informationen
• Unabhängig und nachweislich selbst entwickelte Informationen
• Von Dritten rechtmäßig und ohne Vertraulichkeitspflicht erhaltene Informationen
• Gesetzlich vorgeschriebene Offenlegung (Behördenanfragen, Gerichtsbeschlüsse) — mit vorheriger Benachrichtigung des Offenlegenden

6. Laufzeit und Rückgabepflicht

Die Vertraulichkeitsvereinbarung sollte eine klare Laufzeit definieren. Üblich sind 2 bis 5 Jahre, bei Geschäftsgeheimnissen mit langfristiger Relevanz auch länger. Nach Vertragsende besteht die Pflicht zur Rückgabe oder nachweislichen Vernichtung aller vertraulichen Unterlagen — einschließlich digitaler Kopien, Backups und abgeleiteter Dokumente.

7. Vertragsstrafe und Rechtsfolgen

Eine Vertragsstrafe (typisch: 10.000 bis 50.000 Euro pro Verstoß, bei Großprojekten deutlich höher) erhöht die Durchsetzbarkeit erheblich und dient als Abschreckung. Zusätzlich sollten Schadensersatzansprüche, Unterlassungsansprüche und die Möglichkeit einer einstweiligen Verfügung geregelt werden.

8. Gerichtsstand und anwendbares Recht

Gerade bei internationalen NDA Verträgen ist die Wahl des anwendbaren Rechts und des Gerichtsstands zentral. Für deutsche Unternehmen empfiehlt sich deutsches Recht und ein deutscher Gerichtsstand.

Geheimhaltungsvereinbarung vs. NDA — Gibt es Unterschiede?

Die Begriffe Geheimhaltungsvereinbarung, Vertraulichkeitsvereinbarung und NDA werden häufig synonym verwendet — und das ist im Grundsatz auch korrekt. Dennoch gibt es in der Praxis feine Nuancen:

Begriffliche Einordnung

• NDA (Non-Disclosure Agreement) — Der internationale Standardbegriff, besonders verbreitet in der IT-Branche, bei Start-ups und im internationalen Geschäftsverkehr
• Vertraulichkeitsvereinbarung — Der deutsche Rechtsbegriff, der in nationalen Verträgen bevorzugt wird und rechtlich präziser ist
• Geheimhaltungsvereinbarung — Synonymer deutscher Begriff, häufig im technischen und industriellen Kontext verwendet
• Verschwiegenheitsvereinbarung — Wird vor allem im Zusammenhang mit Berufsgeheimnisträgern (Ärzte, Anwälte, Steuerberater) verwendet

Inhaltliche Unterschiede in der Praxis

Während der rechtliche Inhalt identisch sein kann, unterscheiden sich die Vertragswerke in der Praxis oft durch ihren Fokus:

• Eine NDA im angelsächsischen Stil ist typischerweise kürzer und fokussiert auf die Geheimhaltungspflicht selbst
• Eine deutsche Vertraulichkeitsvereinbarung enthält häufig zusätzliche Klauseln zu Vertragsstrafen, Gerichtsstand und anwendbarem Recht
• Im DSGVO-Kontext sollte jede Geheimhaltungsvereinbarung explizit auf den Datenschutz eingehen — unabhängig von der Bezeichnung

Empfehlung: Verwenden Sie in deutschen Verträgen den Begriff „Vertraulichkeitsvereinbarung“ und ergänzen Sie „NDA“ in Klammern. So kombinieren Sie rechtliche Klarheit mit internationaler Verständlichkeit.

NDA Vertrag kündigen — Rechte und Fristen

Die Kündigung eines NDA Vertrags unterliegt besonderen Regeln, die sich von anderen Vertragsarten unterscheiden. Eine ordentliche Kündigung ist nur möglich, wenn dies in der Vertraulichkeitsvereinbarung ausdrücklich vorgesehen ist.

Ordentliche Kündigung

Viele Vertraulichkeitsvereinbarungen sind auf eine feste Laufzeit (2-5 Jahre) ausgelegt und enden automatisch. Ist eine ordentliche Kündigung vorgesehen, gelten die vertraglich vereinbarten Fristen — typisch sind 3 bis 6 Monate zum Quartals- oder Jahresende.

Außerordentliche Kündigung

Eine fristlose Kündigung der Geheimhaltungsvereinbarung ist bei wichtigem Grund möglich, z.B.:

• Schwerwiegender Verstoß gegen die Geheimhaltungspflicht
• Insolvenz einer Vertragspartei
• Wesentliche Änderung der Geschäftsbeziehung (z.B. Übernahme durch einen Wettbewerber)

Nachwirkende Pflichten

Wichtig: Auch nach Kündigung oder Ablauf der NDA bestehen nachwirkende Pflichten. Die Geheimhaltungspflicht gilt in der Regel für einen vertraglich definierten Zeitraum (oft 2-3 Jahre) über das Vertragsende hinaus. Personenbezogene Daten müssen nach Beendigung gelöscht oder zurückgegeben werden — dies ergibt sich bereits aus der DSGVO.

Dokumentation der Beendigung

Bei Beendigung einer Vertraulichkeitsvereinbarung sollten Sie dokumentieren:

• Rückgabe oder nachweisliche Vernichtung aller vertraulichen Unterlagen
• Löschung digitaler Kopien mit Bestätigungsschreiben
• Deaktivierung von Zugängen zu IT-Systemen und Datenbanken
• Schriftliche Bestätigung beider Parteien über die ordnungsgemäße Abwicklung

Die DATUREX GmbH unterstützt Sie bei der rechtssicheren Beendigung von Vertraulichkeitsvereinbarungen und erstellt professionelle Löschprotokolle, die den Anforderungen der DSGVO und des Geschäftsgeheimnisgesetzes entsprechen. Gerade bei der Beendigung von Dienstleisterverhältnissen ist eine saubere Abwicklung der NDA zentral für den fortbestehenden Geheimnisschutz.

NDA und Geschäftsgeheimnisgesetz (GeschGehG)

Seit April 2019 schützt das Geschäftsgeheimnisgesetz (GeschGehG) Unternehmen vor dem Verrat von Geschäftsgeheimnissen — aber nur unter einer wichtigen Voraussetzung: Das Unternehmen muss angemessene Geheimhaltungsmaßnahmen getroffen haben (§ 2 Nr. 1 lit. b GeschGehG).

Eine Vertraulichkeitsvereinbarung ist eine der wichtigsten dieser Maßnahmen:

• Schutzvoraussetzung: Ohne NDA oder andere dokumentierte Schutzmaßnahmen kann der Schutz nach GeschGehG vollständig entfallen — die Information gilt dann nicht als Geschäftsgeheimnis
• Beweisfunktion: Die NDA dient vor Gericht als Nachweis, dass das Unternehmen Informationen aktiv als geheim eingestuft und geschützt hat
• Strafrechtlicher Schutz: Verstöße gegen das GeschGehG können nach § 23 GeschGehG mit Freiheitsstrafe bis zu 3 Jahren oder Geldstrafe geahndet werden
• Zivilrechtliche Ansprüche: Das GeschGehG gewährt Beseitigungs-, Unterlassungs- und Schadensersatzansprüche (§§ 6-12 GeschGehG)

Praxishinweis: Eine NDA allein reicht nicht aus, um „angemessene Geheimhaltungsmaßnahmen“ nachzuweisen. Ergänzend sollten technische Maßnahmen (Verschlüsselung, Zugriffsrechte), organisatorische Regelungen (Clean-Desk-Policy, Informationsklassifizierung) und ein Compliance-Management-System implementiert werden.

Schutzmaßnahmen nach GeschGehG im Überblick

Das Geschäftsgeheimnisgesetz verlangt ein Gesamtkonzept aus verschiedenen Maßnahmen. Die Vertraulichkeitsvereinbarung ist dabei nur ein Baustein:

• Vertragliche Maßnahmen: NDA Verträge mit Mitarbeitern, Dienstleistern, Geschäftspartnern und Lieferanten
• Technische Maßnahmen: Verschlüsselung, Zugriffskontrollen, Firewalls, DLP-Systeme (Data Loss Prevention)
• Organisatorische Maßnahmen: Informationsklassifizierung, Schulungen, Berechtigungskonzepte, Besuchermanagement
• Physische Maßnahmen: Zutrittskontrolle, verschlossene Schränke, Aktenvernichter, Clean-Desk-Regelungen

Häufig gestellte Fragen zur Vertraulichkeitsvereinbarung (FAQ)

Unsere Mandanten stellen uns als externer Datenschutzbeauftragter regelmäßig folgende Fragen zum Thema Vertraulichkeitsvereinbarung, NDA Vertrag und Geheimhaltungsvereinbarung:

Was ist der Unterschied zwischen NDA und Vertraulichkeitsvereinbarung?

Es gibt keinen inhaltlichen Unterschied. „NDA“ (Non-Disclosure Agreement) ist der englische Begriff, „Vertraulichkeitsvereinbarung“ und „Geheimhaltungsvereinbarung“ sind die deutschen Entsprechungen. Alle drei bezeichnen denselben Vertragstyp zum Schutz vertraulicher Informationen.

Ist eine NDA ohne Vertragsstrafe wirksam?

Ja, eine Vertraulichkeitsvereinbarung ist auch ohne Vertragsstrafe wirksam. Allerdings muss der Geschädigte dann den konkreten Schaden nachweisen, was in der Praxis oft schwierig ist. Eine Vertragsstrafe erleichtert die Durchsetzung erheblich und wird daher dringend empfohlen.

Wie lange gilt eine Geheimhaltungsvereinbarung?

Die Laufzeit wird vertraglich vereinbart. Üblich sind 2 bis 5 Jahre. Bei besonders sensiblen Geschäftsgeheimnissen kann eine längere Laufzeit angemessen sein. Eine unbegrenzte Laufzeit ist rechtlich problematisch und kann unwirksam sein.

Brauche ich neben der NDA auch einen Auftragsverarbeitungsvertrag?

Ja, wenn der Empfänger personenbezogene Daten weisungsgebunden in Ihrem Auftrag verarbeitet. Die NDA schützt Geschäftsgeheimnisse, der AVV nach Art. 28 DSGVO regelt die datenschutzrechtlichen Pflichten. Beide Verträge ergänzen sich und sollten aufeinander abgestimmt sein.

Kann ein Mitarbeiter eine Vertraulichkeitsvereinbarung ablehnen?

Grundsätzlich ja, aber der Arbeitgeber kann den Abschluss einer Vertraulichkeitsvereinbarung zur Bedingung für den Zugang zu bestimmten Informationen machen. Im Arbeitsvertrag kann die Unterzeichnung einer NDA auch als Nebenpflicht verankert werden.

Was passiert bei einem Verstoß gegen die NDA?

Bei einem Verstoß gegen die Vertraulichkeitsvereinbarung drohen: Zahlung der vereinbarten Vertragsstrafe, Schadensersatzansprüche, Unterlassungsansprüche, arbeitsrechtliche Konsequenzen (bis hin zur fristlosen Kündigung) und bei Vorsatz strafrechtliche Verfolgung nach dem Geschäftsgeheimnisgesetz (Freiheitsstrafe bis 3 Jahre).

DATUREX GmbH — Ihre Experten für Vertraulichkeitsvereinbarungen

Die DATUREX GmbH verbindet Datenschutz-Know-how mit praktischer Vertragserfahrung. Als externer Datenschutzbeauftragter wissen wir genau, welche Klauseln eine Vertraulichkeitsvereinbarung DSGVO-konform machen:

• NDA-Erstellung — Maßgeschneiderte Vertraulichkeitsvereinbarungen für Ihre spezifischen Anforderungen und Branche
• NDA-Prüfung — Datenschutzrechtliche Bewertung bestehender Geheimhaltungsvereinbarungen auf DSGVO- und GeschGehG-Konformität
• Muster-Vorlagen — Individuell angepasste NDA Muster und Vertraulichkeitsvereinbarung Muster für wiederkehrende Anwendungsfälle
• AV-Verträge — Ergänzende Auftragsverarbeitungsverträge, wenn personenbezogene Daten betroffen sind
• Mitarbeiter-Schulungen — Sensibilisierung Ihrer Belegschaft für den Umgang mit vertraulichen Informationen
• Datenschutz-Audit — Überprüfung Ihres gesamten Vertraulichkeitskonzepts einschließlich TOM und Zugriffsrechte