Vertraulichkeitsvereinbarungen bei IT-Projekten

20.04.2005
Alexander Bach

Rahmenverträge gehören für die meisten IT-Freiberufler zum beruflichen Alltag. Ein üblicher Bestandteil (nicht nur) dieser Verträge sind Vertraulichkeitsvereinbarungen – ein Thema, das oft vernachlässigt wird und dennoch manches Problem in sich bergen kann. Was man über Vertraulichkeitsvereinbarungen wissen sollte, erklärt für GULP Rechtsanwalt und Diplom-Informatiker Alexander Bach:

Im Beratungsgeschäft generell und in IT-Projekten im Besonderen hat Vertraulichkeit eine kaum zu überschätzende Bedeutung. Konsequenterweise verpflichtet sich der selbstständige IT-Experte üblicherweise in einem Rahmenvertrag mit einem Auftraggeber dazu, die Vertraulichkeit hinsichtlich aller Informationen zu wahren, die ihm bei Gelegenheit gemeinsam durchzuführender Projekte bekannt werden sollten. Er unterschreibt also eine Vertraulichkeitsvereinbarung.

Da der IT-Freiberufler im Allgemeinen daran interessiert ist, mit dem jeweiligen Auftraggeber mehr als nur ein einzelnes Projekt abzuwickeln, wird er die hinsichtlich der Vertraulichkeit getroffenen Regelungen (meistens formularmäßig vorgegeben) nicht in Frage stellen und sofort unterschreiben – schließlich will er ja nicht gleich zu Beginn den erst einmal unguten Eindruck aufkommen lassen, dass für ihn die Frage der Vertraulichkeit diskussionswürdig sei.

So weit, so gut – doch was ist nach dem Projekt? Kann eine Vertraulichkeitsvereinbarung einem Auftrag bei einem anderen Projektanbieter entgegenstehen? Und wenn der neue potentielle Auftraggeber sogar ein Wettbewerber des vorherigen Projektanbieters ist? Oder was ist zu beachten, wenn man selbst im Geschäftsgebiet des ursprünglichen Auftraggebers tätig werden will?

Obwohl ein Wettbewerbsverbot nicht ausdrücklich vereinbart worden ist, kann sich herausstellen, dass die Vertraulichkeitsvereinbarung im einzelnen Ergebnis wie ein solches wirkt – zum Beispiel, wenn ihr Umfang sehr weit ist. Der IT-Freiberufler ist also gut beraten, sich beizeiten Gedanken über das Thema "Vertraulichkeitsvereinbarungen" zu machen.

Ob in Rahmenverträgen oder in gesonderten Vereinbarungen, die dann in der Regel vorgehen – ein Überblick über die wichtigsten Bestandteile einer Vertraulichkeitsvereinbarung und ihre Wirkungen:

Präambel

Ist dem Vertrag, der die Vertraulichkeitsvereinbarung enthält, eine so genannte Präambel als Vorspann zum eigentlichen Vertragstext vorangestellt, gibt sie meist Auskunft über den mit der Zusammenarbeit verfolgten Zweck bzw. die beiderseitigen Erwartungen der Parteien.

Und sie kann vertragsrelevante Definitionen enthalten, wodurch zwar keine unmittelbaren rechtlichen Verpflichtungen geschaffen werden – die Informationen dienen jedoch im Streitfall der Auslegung der Vereinbarung.

Daher ist bei Abschluss stets darauf zu achten, dass die Präambel

  • nichts enthält, was eine Interpretation der Vereinbarung über den gewünschten Verpflichtungsumfang hinaus ermöglicht.
  • in der Zweckangabe sich eindeutig auf den aktuellen Anlass der Zusammenarbeit, beispielsweise ein bestimmtes IT-Projekt, beschränkt.

Definition der vertraulichen Information

Zentraler Bestandteil einer Vertraulichkeitsvereinbarung ist stets eine ausdrückliche oder implizite Definition der vertraulichen Information. Dieser Teil ist in der Regel auch der konfliktträchtigste, da der Informationsgeber wohl eher einen möglichst weiten Schutz anstrebt, während der zu Vertraulichkeit Verpflichtete ein Interesse an möglichst präzisen Abgrenzungen hat.

Eine inhaltliche oder gar aufzählende Definition ist wegen der schwierigen Vorhersehbarkeit des Projektverlaufs meistens nicht zu leisten. Um beiden Parteien dennoch gleichzeitig Flexibilität und Sicherheit bei der Handhabung vertraulicher Informationen zu gewährleisten, ist es stattdessen üblich, an formale Kriterien anzuknüpfen wie z. B. an:

a) Informationsgeber/-empfänger ("Wer/Wem?")
  Die ausdrückliche Festlegung von Geber bzw. Empfänger vertraulicher Informationen kann bewirken, dass Schutz von Vertraulichkeit nur in einer Richtung besteht. Da jede Vertragspartei in der Praxis wohl oft beide Rollen einnehmen wird, ist hier auf symmetrische Formulierung zu achten.
   
b) Zweck ("Wozu?")
 

Es geht häufig zu weit, schlechthin alle Informationen als vertraulich zu kennzeichnen, die dem häufig bereits in der Präambel formulierten Zweck dienen. Viele Informationen stellen wohl überwiegend keine konkreten Betriebsgeheimnisse dar, weshalb der Vertragspartner in ihrer Verwendung frei bleiben muss.

Als Alternative bietet sich an, den Zweck der Zusammenarbeit zur Definition allenfalls insoweit heranzuziehen, als dem Zweck nicht dienende Informationen ausdrücklich vom Vertraulichkeitsschutz ausgenommen werden.

   
c) Form ("Wie?")
 

Eine Anknüpfung an die Form der Mitteilung kann beispielsweise dadurch geschehen, dass Vertraulichkeit für alle Informationen vereinbart wird, die im Rahmen eines Projekts

  schriftlich mitgeteilt und
  als vertraulich gekennzeichnet sind.

Einbezogen werden können ferner mündliche Informationen, wobei zur Vermeidung von Beweisschwierigkeiten empfehlenswert ist, nur solche mündlichen Vereinbarungen einzubeziehen, deren Vertraulichkeit binnen einer bestimmten Frist (ein Monat) schriftlich durch den Informationsgeber bestätigt worden ist.

   
d)

Zeit ("Wann?")

  Wenn nur solche Informationen der Vertraulichkeit unterworfen werden, die ab einem bestimmten Zeitpunkt, innerhalb eines bestimmten Zeitraums oder bis zu einem bestimmten Zeitpunkt mitgeteilt werden, ist auf eine verlässliche Dokumentation des Zeitpunktes der Übergabe zu achten.

Ein Beispiel

Eine Definition vertraulicher Informationen, welche die obigen Gesichtspunkte berücksichtigt, könnte wie folgt aussehen:

"Vertrauliche Informationen sind alle Informationen, die einer Vertragspartei durch die andere Vertragspartei nach Inkrafttreten dieser Vereinbarung offenbart, d.h. mitgeteilt oder zugänglich gemacht werden und

  • falls die Information schriftlich oder in elektronischer Form vorliegt, als vertraulich gekennzeichnet sind, oder
  • falls die Information in anderer Form (z.B. mündlich oder bildlich) offenbart wird, innerhalb von 30 Tagen schriftlich oder in elektronischer Form beschrieben und als vertraulich gekennzeichnet werden.

Überlassener Quellcode ist, auch ohne Kennzeichnung, stets als vertraulich zu behandeln."

Ausnahmeregelungen

Es ist sehr schwierig, die als vertraulich zu behandelnde Information ausschließlich mit positiven Formulierungen genau abzugrenzen – daher ist es üblich, durch Ausnahmeregelungen bestimmte Arten von Informationen aus der vorhergehenden Definition auszunehmen.

Üblicherweise werden solche Informationen ausgenommen, die

  • ohne Bruch der Vertraulichkeitsvereinbarung öffentlich bekannt sind oder werden;
  • sich vor dem Empfang von der offenbarenden Partei bereits im Besitz des Empfängers befanden;
  • vom Empfänger unabhängig entwickelt oder in Erfahrung gebracht werden;
  • vom Empfänger gemäß der Anordnung eines zuständigen Gerichts oder einer Verwaltungs- oder Regierungsbehörde offenbart werden müssen.

 

In diesen Fällen ist die Vertraulichkeitsvereinbarung nicht von einem schutzwürdigen Geheimhaltungsinteresse gedeckt. Auch wenn diese Ausnahmebestimmungen in einer konkreten Vereinbarung vergessen worden sein sollten, entfalten sie in Bezug auf die genannten Punkte keine Wirkung.

Beschränkung der Weitergabe

Die Beschränkung der Weitergabe soll die Vertraulichkeit der erlangten Information wahren. Problematisch sind hierbei

1. das Maß der zu wahrenden Sorgfalt:
  Jene kann derjenigen entsprechen, die man generell in eigenen Angelegenheiten walten lässt. Sie kann jedoch bis zur Umsetzung besonderer Vorsichtsmaßnahmen gehen, wie etwa der verschlossenen Aufbewahrung von Kopien. Derartige Maßnahmen sind unter Umständen kostspielig und bedürfen zu ihrer Rechtfertigung auch eines besonderen Geheimhaltungsinteresses. Ist dieses nicht ersichtlich, sollte zumindest versucht werden, einen Verzicht auf derartige Maßnahmen durchzusetzen, bevor man sich ausufernde Kosten und unübersehbare Haftungsrisiken aufbürdet.
   
2. der in die Vertraulichkeit einbezogene Personenkreis.
  Hier kann sich aus einer zu engen oder unflexiblen Abgrenzung des Personenkreises, der zu der vertraulichen Information Zugang haben darf, für den externen IT-Dienstleister ein Problem bei der Einbindung von Netzwerkpartnern oder gar von eigenen Mitarbeitern in einem bestimmten Projekt ergeben. Angemessen wird in der Regel sein, den Kreis nur abstrakt festzulegen und im Übrigen dem Informationsempfänger die Verpflichtung aufzuerlegen, seine Partner/Mitarbeiter in entsprechender Weise zu binden.

Nutzungsbeschränkung

Nutzungsbeschränkungen sollen eine unbefugte Verwertung der vertraulichen Information verhindern. Im Allgemeinen wird festgelegt, welche Nutzung als erlaubt angesehen wird, wobei Nutzungen im Übrigen verboten sein sollen.

Inhaltlich wird die Nutzung üblicherweise an der vereinbarten Vertragszweck gebunden. Probleme ergeben sich an diesem Punkt, wenn beabsichtigt ist, im Projekt erstellte Module, die teilweise von der Vertraulichkeitsvereinbarung erfasste Informationen nutzen, wieder zu verwenden. Diesem Problem wird am besten durch genaue Definition des Anwendungsbereichs der Vereinbarungen begegnet.

Derivate, Abwandlungen

Bisweilen erstreckt sich die Weitergabe- und Nutzungsbeschränkungen nicht nur für die die vertrauliche Information selbst, sondern auch für hieraus abgeleitete Informationen.

Dem ist im Allgemeinen eher zurückhaltend zu begegnen, da sich nur schwer definieren lässt, wann eine Information aus einer anderen abgeleitet ist. Wenn möglich, sind derartige Formulierungen zu vermeiden, da sie ein unübersehbares Haftungsrisiko für den Verpflichteten bergen können.

Schutzfrist

Mit der Schutzfrist der Vereinbarung wird der Zeitraum festgelegt, in welchem die Vertraulichkeit der erfassten Informationen zu wahren ist. Üblich sind hierbei Zeiträume von 6 Monaten bis 3 Jahren.

Der Beginn der Schutzfrist kann dabei entweder mit der Übergabe der vertraulichen Information oder mit der Beendigung der Vertraulichkeitsvereinbarung, sei es durch zeitlichen Ablauf, sei es durch Kündigung, verknüpft sein.

Ist eine Schutzfrist nicht vereinbart worden, ist im Zweifel davon auszugehen, dass die Vertraulichkeit und das Nutzungsverbot auf unbestimmte Zeit zu wahren sind. Die vertraulichen Informationen können dann nur im Verlauf der Zeit durch Eintritt eines Ausnahmetatbestandes wie oben beschrieben "frei" werden, beispielsweise durch eine anderweitige Veröffentlichung.

Vertragsstrafe

Zur Absicherung der Vertraulichkeitsvereinbarung sieht diese unter Umständen eine Vertragsstrafe für jeden Fall einer unbefugten Nutzung bzw. Offenbarung vor.

Ist eine Vertragsstrafe unverhältnismäßig hoch, so kann sie auf Antrag des Schuldners durch Urteil auf den angemessenen Betrag herabgesetzt werden. Dennoch ist anzuraten, bereits bei Vertragsschluss zu kontrollieren, ob die Höhe der Strafe der Bedeutung des Geheimnisses entspricht. Wenn nicht, sollte der selbstständige IT-Experte versuchen gemeinsam mit seinem Auftraggeber eine einvernehmliche Lösung zu finden – durch zum Beispiel eine realistische Anpassung der Vertragsstrafe.

Wirksamkeit der Vertraulichkeitsvereinbarung

Vertraulichkeitsvereinbarungen mit den aufgeführten Bestandteilen sind per se zulässig und wirksam. Einzelne Unwirksamkeitsgründe können sich jedoch beispielsweise aus Verstößen gegen Kartellrecht oder "Treu und Glauben" ergeben.

WICHTIG: Anders, als bei Wettbewerbsverboten, ist eine Vertraulichkeitsvereinbarung regelmäßig auch ohne Gewährung einer Karenzentschädigung wirksam – selbst, wenn sie im Einzelfall wie ein Wettbewerbsverbot wirken sollte.

In der Praxis

Vertraulichkeitsvereinbarungen werden im IT-Dienstleistungsgeschäft in der Regel nicht verhandelt, sondern einseitig gestellt und akzeptiert. Dass mit Abschluss einer derartigen Vereinbarung auch erhebliche Risiken und Beschränkungen verbunden sein können, wird dem Verpflichteten oft erst im Nachhinein klar.

Zweifellos sollte niemand Vertrauen dadurch aufs Spiel setzen, dass er eine Vertraulichkeitsvereinbarung pauschal ablehnt. Er sollte dennoch vor Abschluss einer derartigen Vereinbarung überlegen, ob nicht vernünftige Gründe für punktuelle Änderungen im Einzelfall bestehen, beispielsweise für die Beseitigung von Unklarheiten. Zum einen ist die Chance groß, dass der Vertragspartner diese Wünsche nicht verweigert, zum anderen kann dies auch für die Sorgfalt des IT-Freiberuflers sprechen, der die Vereinbarung ernst nimmt und nicht einfach nur "ins Blaue hinein" unterschreibt.

Weitere Informationen erhalten Sie vom Autor Alexander Bach.
Der Autor behält sich alle Rechte am Artikel vor. © 2005 Rechtsanwalt Alexander Bach

GULP Feedback: Ihre Meinung ist uns wichtig

Gerne sind wir für Ihre Anregungen, Wünsche, Ideen und selbstverständlich auch Kritik offen. Sie erreichen uns per Mail unter redaktion@gulp.de.