NDA und Schutz vertraulicher Informationen
1) Ziele und Grundsätze
Die NDA (Non-Disclosure Agreement) und die internen Richtlinien schützen:- Geschäftsgeheimnisse (Betrugsbekämpfungsalgorithmen, Bonusprofile, ML-Modelle, RNG-Mathematik);
- Verhandlungsmaterialien (Preisschilder, Angebote, M&A, Due Diligence);
- technische Prozesse und Quellen (Architektur, IaC, API-Schemata, Schlüssel);
- Affiliate-Daten (SDK, Roadmaps, Beta);
- personenbezogene/kommerzielle Daten (im Rahmen der DPA/DSA).
Grundsätze: Zugangsminimierung (Need-to-Know), Rückverfolgbarkeit, Standardverschlüsselung, Rollen-/Aufgabenverteilung, „Reinraum“ für gemeinsame Entwicklung.
2) Klassifizierung und Kennzeichnung von Informationen
Empfohlene Klassifizierungsstufe und Handhabungsregeln:Kennzeichnung: „[CONFIDENTIAL]“, Dateneigentümer, Veröffentlichungsfrist, Link zum Ticket/Zugangsgrund.
3) Betriebsgeheimnis (Handelsgeheimnisse)
Juraakt/Politik: Liste der Informationen, Schutzmaßnahmen, Haftung.
Technische Maßnahmen: RBAC/ABAC, Access Logs, DLP, Watermarking, Print/Screenshot Control.
Organisatorisch: Onboarding/Offboarding-Checklisten, Schulungen, Geheimhaltungsvereinbarungen, Verbot, Medien ohne Anmeldung mitzubringen/auszutragen.
Dock-Disziplin: Versionen, Artefakt-Register, Kennzeichnung, „geheime“ Kanäle (geschlossene Räume/Repositories).
4) Arten von NDA
Einseitig (One-Way): Zeigt eine Seite an (typischerweise ein SDK-Anbieter).
Wechselseitig (mutual): Austausch vertraulicher Informationen in beide Richtungen (Verhandlungen, Integrationen).
Multilateral (multilateral): Konsortien, gemeinsame Piloten.
NCA/NDA + NCA: non-circumvention (Verbot der Umgehung des Mediators) wird der NDA hinzugefügt.
NDA mit Entwickler/Auftragnehmer: kombiniert mit Inventions/Assignment (Rechte an Ergebnissen).
5) NDA-Schlüsselabschnitte (obligatorisch)
1. Definition von vertraulichen Informationen: einschließlich mündlicher (mit anschließender schriftlicher Bestätigung), elektronischer, materieller Medien; Liste typische Beispiele auf (Code, Schemata, Preise, Dashboards).
2. Ausnahmen: (i) öffentlich bekannt ohne Verletzung; (ii) bereits in rechtmäßigem Besitz war; (iii) unabhängig entwickelt (nachweisbar); (iv) auf gesetzlicher Grundlage an staatliche Stellen weitergegeben (mit Benachrichtigung).
3. Zweck der Offenlegung: spezifisch (Partnerschaftsbewertung, Pilotprojekt, Audit).
4. Verpflichtungen des Empfängers: das Schutzniveau ist nicht niedriger als sein eigenes; need-to-know, Verbot des Kopierens über den Zweck hinaus, Verbot der Rückentwicklung/Benchmarking ohne Zustimmung.
5. Laufzeit und „Überleben“: Vertragslaufzeit (z.B. 2-5 Jahre) + Schutz der Geheimnisse nach der Laufzeit (z.B. 5-10 Jahre/unbefristet für Geheimnisse).
6. Rückgabe/Vernichtung: bei Aufforderung oder Beendigung - Rückgabe/Löschung mit Bestätigung; Backups - unter dem Speichermodus bis zur Auto-Deadline.
7. Prüfung und Meldung von Vorfällen: Geschwindigkeit der Meldung (z. B. ≤72 Stunden), Zusammenarbeit bei der Untersuchung.
8. Rechtsmittel: injunctive relief (einstweilige Verfügung), Entschädigung, Grenzen gelten nicht für vorsätzliche Verstöße.
9. Anwendbares Recht/Schiedsverfahren: Gerichtsstand/Forum, Sprache, ADR/Schiedsverfahren.
10. Export/Sanktionen: Verbot der Weitergabe an Subsanktionäre/Jurisdiktionen; Einhaltung der Exportkontrollen (Kryptographie).
11. „Residual Knowledge“ (nach Absprache): „ungeschriebenes Wissen“ der Mitarbeiter kann/darf nicht genutzt werden (in der Regel - ausgeschlossen oder eingeschränkt).
12. Subunternehmer/verbundene Unternehmen: nur mit ähnlichen Verpflichtungen und schriftlicher Zustimmung zulässig.
13. Datenschutz (falls PII vorhanden): Verweis auf DPA/DSA, Rolle der Parteien (Verantwortlicher/Auftragsverarbeiter), Zwecke/Rechtsgrundlagen, grenzüberschreitende Übermittlungen, Speicherdauer.
6) NDA-Kommunikation mit Privatsphäre und Sicherheit
Werden personenbezogene Daten übermittelt, reicht der NDA nicht aus - erforderlich sind ein DPA/DSA und Maßnahmen nach DSGVO/analog (Rechtsgrundlage, Betroffenenrechte, DPIA für High-Risk).
Technische Kontrollen: Verschlüsselung im Transit (TLS 1. 2 +), at-Rest (AES-256), Secret Management, Schlüsselrotation, MDM für Geräte, 2FA, SSO, Logminimierung mit PII.
7) Zugangs- und Austauschverfahren
Kanäle: Domain-Mail, sichere Räume (VDR), SFTP/mTLS, verschlüsselte Archive (AES-256 + Out-of-Band-Passwort).
Verbot: Messenger ohne Unternehmensintegration, persönliche Clouds, öffentliche Links, nicht verwaltete Geräte.
Druck-/Exportkontrolle, Verbot persönlicher Flash-Medien, Geo-Restriktionen (Geophens).
8) Reinraum und gemeinsame Entwicklungen
Trennen Sie die Befehle „sehen“ und „sauber“, speichern Sie einseitige Artefakte getrennt.
Quellen und Herkunft dokumentieren (Provenienz).
Für gemeinsame PoCs: Vereinbaren Sie die Rechte an den Ergebnissen (Joint/Assignment), wem die abgeleiteten Daten gehören.
9) RAG-Risikomatrix
10) Checklisten
Vor dem Informationsaustausch
- Unterzeichnet von der NDA (Recht/Forum/Frist/Ausnahmen/Sanktionen).
- Braucht man eine DPA/DSA? Wenn ja, unterschrieben.
- Datensatzbesitzer und Klassifizierungsebene zugewiesen.
- Austauschkanal und Verschlüsselung sind aufeinander abgestimmt.
- Empfängerliste (need-to-know), Zugriff auf VDR/Ordner konfiguriert.
Während des Austauschs
- Dateimarkierung und Version, Wasserzeichen.
- Zugriffsprotokolle, Verbot von Re-Sharing ohne Zustimmung.
- Hashsummen/Artefaktregister.
Nach Abschluss
- Rückgabe/Löschung und schriftliche Bestätigung.
- Zugriffe widerrufen, Token/Schlüssel rotiert.
- Post-Audit: Was in Prozessen/Vorlagen zu verbessern.
11) Vorlagen (Fragmente von Vertragsklauseln)
A. Begriffsbestimmungen und Ausnahmen
B. Verpflichtungen und Zugang
C. Dauer/Überleben
Diese Vereinbarung gilt für [24/36/60] Monate; die Verpflichtungen zum Schutz von Geschäftsgeheimnissen bestehen für einen Zeitraum von [5-10] Jahren oder bis zur rechtmäßigen Offenlegung.
D. Rückgabe/Vernichtung
Auf Verlangen der offenlegenden Partei gibt der Empfänger die Materialien innerhalb von [10] Tagen zurück oder vernichtet sie und bestätigt dies schriftlich; Sicherungskopien werden bis zur Standard-Auto-Löschung unter Wahrung der Vertraulichkeit gespeichert.
E. Rechtsmittel
Die Parteien erkennen an, dass der Verstoß irreparablen Schaden verursachen kann. Die offenlegende Partei hat das Recht, neben anderen Rechtsbehelfen eine einstweilige Verfügung (injunctive relief) zu verlangen.
F. Exporte/Sanktionen
G. Residual Knowledge (optional)
Die Parteien sind sich einig, dass die allgemeinen Fähigkeiten und Kenntnisse der Mitarbeiter des Empfängers, die nicht in materieller Form festgelegt sind, nicht als vertrauliche Informationen gelten, sofern der Quellcode/die geheimen Formeln nicht absichtlich gespeichert und verwendet werden. (Es wird empfohlen, risikoreiche Projekte auszuschließen oder stark einzuschränken.)
12) Empfohlene Register (YAML)
12. 1 NDA-Register
yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"12. 2 Register für den Austausch von Artefakten
yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf" # sha256:...
- "kpis_q1. xlsx" # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false13) Sicherheitsrichtlinien und -praktiken (kurz)
Geräte: Enterprise, Vollplattenverschlüsselung, MDM, BYOD-Verbot für „Secret“.
Zugriff: SSO/2FA, bedingter Zugriff (Geo/Device), temporäre Rollen (Just-in-Time).
Protokolle: Speicherung und Überwachung von Zugriffen; Alert für Massenentladung/Nicht-Standard-Uhr.
DLP: Block von Anhängen außerhalb der Domäne/ohne Verschlüsselung, Wasserzeichen in PDF.
Komfort: Secure Room Templates (VDRs), fertige Archiv-Verschlüsselungsskripte, Standard NDA/DPA.
14) Incident Management (im Rahmen der NDA)
1. Commit: was, wann, wer, welche Dateien/Repositories; Einfrieren von Sitzungen.
2. Isolation: Rückruf von Zugriffen/Schlüsseln, temporärer „Gefrierschrank“ in der Cloud.
3. Benachrichtigungen: Dateneigentümer, Anwälte, Partner; PII steht für DPA/DSGVO.
4. Untersuchung: Logsammlung, Forensik, Ermittlung des Schadensumfangs.
5. Remediation: Ersetzung von Geheimnissen, Patches, Aktualisierung von Playbooks, Training.
6. Rechtliche Maßnahmen: Ansprüche/Klageverfahren nach NDA, Entschädigung.
15) Mini-FAQ
Reicht die NDA für personenbezogene Daten aus? Nein, wir brauchen eine DPA/DSA und Datenschutzmaßnahmen.
Kann ich Vertrauliches an den Messenger senden? Nur in Enterprise-Approved und End-to-End, mit DLP/Logs enthalten.
Wie viel Material lagern? So lange, wie es das Ziel/der Vertrag erfordert; am Ende - Rückgabe/Löschung mit Bestätigung.
Müssen interne Laufwerke verschlüsselt werden? Ja, Volldiskette + Verschlüsselung von Dateien/Geheimnissen.
16) Schlussfolgerung
Die NDA ist nur die Spitze des Eisbergs. Echter Schutz basiert auf dem Geschäftsgeheimnismodus, der Verknüpfung mit der Privatsphäre (DPA), strengen technischen und ORG-Kontrollen, der Tauschdisziplin und der schnellen Reaktion auf Vorfälle. Standardisieren Sie Vorlagen, erstellen Sie Register und Playbooks - und Ihre Geheimnisse, Ihr Code und Ihre Verhandlungen bleiben ein Vermögenswert, keine Schwachstelle.