---
name: geheimhaltung-nda-vertraulichkeit
description: "Drafting eines stand-alone NDA und einer Geheimhaltungsklausel als Vertragsbaustein. Strukturiert Definition der vertraulichen Information, Standardausnahmen (öffentlich bekannt, eigenständig entwickelt, von Dritten rechtmäßig erhalten, gesetzliche Offenlegungspflicht), Nutzungsbeschränkung, Pfli..."
---

# Geheimhaltung, NDA und Vertraulichkeit

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: DSGVO Art. 33 Datenpanne 72h, ZPO § 130d aktive beA-Nutzung seit 01.01.2022, GwG § 8 Aufbewahrung 5 Jahre, KI-VO Art. 50 Kennzeichnung.
- Tragende Normen verifizieren: BRAO §§ 43a, 49b, DSGVO Art. 6, 28, 32, 35, BORA § 19a (technische Sorgfalt), beA-Bedingungen, ZPO § 130a (eVa), § 130d (aktive Nutzungspflicht), GwG § 8 Aufbewahrung — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Anwalt, Sekretariat, IT-Verantwortlicher, Datenschutzbeauftragter, KI-Anbieter (Auftragsverarbeiter), Kammer.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Word-Dokumentvorlage, beA-Schriftsatz, AV-Vertrag mit KI-Anbieter, DSFA, Sicherheitskonzept, AGB-/Mandantenklauseln zu KI-Einsatz — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Eingaben

- Konstellation (einseitig, gegenseitig, mehrseitig).
- Anlass (Anbahnung Transaktion, Lieferantengespräch, Personalanbahnung, Due Diligence).
- Art der vertraulichen Information (Technik, Finanzen, Personal, Strategie, Sourcecode).
- Übermittlungswege (Datenraum, E-Mail, Demo, Probemuster).
- Empfängerkreis (eigene Mitarbeitende, Berater, Konzern, Subunternehmer).
- Gewünschte Sanktion (Schadensersatz, Unterlassung, Vertragsstrafe).
- Gerichtsstand, Rechtswahl, Dauer.

## Rechtlicher und methodischer Rahmen

- **Vertraglicher Rahmen:** §§ 241 II, 242, 311 II BGB; Geheimhaltungspflicht entsteht oft schon vorvertraglich. Eine vertragliche Klausel schafft Bestimmtheit und Beweisbarkeit.
- **GeschGehG (Geschäftsgeheimnisgesetz, 2019):** Geheimnisschutz setzt nach § 2 Nr. 1 b GeschGehG "den Umständen nach angemessene Geheimhaltungsmaßnahmen" voraus. Ein NDA ist deshalb auch aus Gründen des Schutzes nach GeschGehG empfehlenswert; die Klausel sollte konkrete Maßnahmen benennen (Zugangsbeschränkung, Need-to-Know, Verschwiegenheitsverpflichtung der Empfänger).
- **AGB-Recht:** Vertraulichkeitsklauseln sind grundsätzlich AGB-fähig, jedoch Inhaltskontrolle nach § 307 BGB. Vertragsstrafe in AGB: § 309 Nr. 6 BGB im Verbraucher-Geschäft unwirksam, im B2B nur eingeschränkt zulässig.
- **DSGVO:** Personenbezogene Daten benötigen eigene Rechtsgrundlage; das NDA ersetzt nicht den AVV (Auftragsverarbeitungsvertrag, Art. 28 DSGVO).
- **Form:** Schriftform empfohlen, jedoch nicht gesetzlich vorgeschrieben. Textform genügt zivilrechtlich.

## Ablauf / Checkliste

1. Zweckbestimmung formulieren: Wofür darf die Information genutzt werden (Permitted Purpose)?
2. Definition der vertraulichen Information klären: weit genug für Schutz, eng genug für Bestimmtheit. Empfehlung: alle als "vertraulich" gekennzeichneten Informationen plus solche, die ihrer Natur nach vertraulich sind.
3. Standardausnahmen aufnehmen: öffentlich bekannt ohne Vertragsverletzung, vor Erhalt bereits bekannt, von Dritten rechtmäßig erlangt, eigenständig entwickelt, gesetzliche oder behördliche Offenlegungspflicht.
4. Pflichten kombinieren: Nutzungsbeschränkung (use restriction) und Offenlegungsverbot (non-disclosure). Beides ist nötig.
5. Empfängerkreis regeln: Need-to-Know, gleichlautende Verpflichtung der Empfänger, Haftung für deren Verhalten.
6. Dauer festlegen: Geheimhaltungspflicht typischerweise drei bis fünf Jahre nach Beendigung; technische oder strategische Information ggf. dauerhaft.
7. Rückgabe und Löschung: auf Verlangen oder bei Vertragsende, mit Bestätigung in Textform. Ausnahme für Backups und gesetzliche Aufbewahrungspflichten.
8. Sanktion: Unterlassungsanspruch, Schadensersatz, optional Vertragsstrafe mit Bezug auf den Skill `vertragsstrafe-339-bgb`.
9. Gerichtsstand, Rechtswahl, Schiedsklausel je nach Konstellation.
10. GeschGehG-Maßnahmen dokumentieren: das NDA muss Teil eines Bündels angemessener Maßnahmen sein.

## Typische Drafting-Fehler

- Definition zu weit ("alle Informationen, die jemals fließen"): Risiko der Intransparenz nach § 307 BGB und Beweisprobleme.
- Definition zu eng ("nur als 'vertraulich' gekennzeichnet"): Inhalt aus Gesprächen, Demos und Bildschirmpräsentationen fällt heraus.
- Fehlende Ausnahmen: jeder Vortrag in einer öffentlichen Konferenz wird zur Vertragsverletzung.
- Pflicht zur Offenlegung an Behörden ohne Mitteilungsvorbehalt: keine Möglichkeit zur Schutzanordnung.
- Keine Regelung der Empfänger: Haftung für Berater und Subunternehmer ungeklärt.
- Vertragsstrafe in Verbraucher-AGB: § 309 Nr. 6 BGB.
- Dauer "unbegrenzt": in AGB nach § 307 BGB regelmäßig unzulässig.

## Beispiel

Mustertext (Geheimhaltungsklausel in einem Rahmenvertrag, B2B):

> § X Geheimhaltung
> (1) Vertrauliche Informationen im Sinne dieses Vertrages sind alle Informationen, die eine Partei der anderen im Zusammenhang mit der Vertragserfüllung in mündlicher, schriftlicher, elektronischer oder verkörperter Form offenlegt und die als vertraulich gekennzeichnet sind oder deren Vertraulichkeit sich aus den Umständen ergibt.
> (2) Ausgenommen sind Informationen, die (i) ohne Verletzung dieses Vertrages öffentlich bekannt sind oder werden, (ii) der empfangenden Partei vor der Offenlegung nachweislich bekannt waren, (iii) der empfangenden Partei rechtmäßig durch Dritte ohne Geheimhaltungspflicht zugänglich gemacht werden oder (iv) von der empfangenden Partei eigenständig ohne Nutzung vertraulicher Informationen entwickelt wurden.
> (3) Die empfangende Partei nutzt vertrauliche Informationen ausschließlich zum Zweck der Vertragsdurchführung und gibt sie nicht an Dritte weiter. Sie verpflichtet ihre Mitarbeitenden und hinzugezogenen Berater inhaltsgleich und nach dem Need-to-Know-Prinzip.
> (4) Eine Offenlegung auf gesetzliche oder behördliche Anordnung bleibt zulässig, wobei die empfangende Partei die offenlegende Partei vorab unterrichtet, soweit gesetzlich zulässig, um die Möglichkeit gerichtlichen Schutzes zu eröffnen.
> (5) Die Pflichten gelten für die Vertragslaufzeit und für weitere fünf Jahre nach Beendigung.
> (6) Auf Verlangen oder bei Vertragsende gibt die empfangende Partei alle Verkörperungen der vertraulichen Informationen zurück oder vernichtet sie und bestätigt dies in Textform. Ausgenommen sind automatisierte Backups und gesetzlich vorgeschriebene Aufbewahrung.

## Quellen (Stand 05/2026)

- §§ 241 II, 242, 280, 307, 309 Nr. 6, 311 II BGB.
- §§ 1, 2, 3, 4 GeschGehG (Begriff, Erlaubte Handlungen, Verletzungshandlungen, angemessene Geheimhaltungsmaßnahmen).
- Art. 28 DSGVO (zur Abgrenzung NDA und AVV).
- BGH- und OLG-Rechtsprechung zur Angemessenheit der Geheimhaltungsmaßnahmen nach § 2 Nr. 1 b GeschGehG ist vom Nutzer fundstellengenau zu verifizieren.
- Zitierweise: `references/zitierweise.md`.