Bundesamt für Sicherheit in der Informationstechnik

M 3.55 Vertraulichkeitsvereinbarungen

Verantwortlich für Initiierung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Externe Mitarbeiter erhalten häufig für die Erfüllung ihrer Aufgaben Zugang zu vertraulichen Informationen oder erzielen Ergebnisse, die vertraulich behandelt werden müssen. In diesen Fällen müssen sie verpflichtet werden, diese entsprechend zu behandeln. Hierüber sollten Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) abgeschlossen werden, die vom externen Mitarbeiter unterzeichnet wird.

In einer Vertraulichkeitsvereinbarung sollte beschrieben sein,

  • welche Informationen vertraulich behandelt werden müssen,
  • für welchen Zeitraum diese Vertraulichkeitsvereinbarung gilt,
  • welche Aktionen bei Beendigung dieser Vereinbarung vorgenommen werden müssen, z. B. Vernichtung oder Rückgabe von Datenträgern,
  • wie die Eigentumsrechte an Informationen geregelt sind,
  • welche Regelungen für den Gebrauch und die Weitergabe von vertraulichen Informationen an weitere Partner gelten, falls dies notwendig ist,
  • welche Konsequenzen bei Verletzung der Vereinbarung eintreten.

In der Vertraulichkeitsvereinbarung kann auch auf die relevanten Sicherheitsrichtlinien und weitere Richtlinien der Organisation hingewiesen werden. In dem Fall, dass externe Mitarbeiter Zugang zu organisationsinternen IT-Infrastruktur haben, sollten diese neben der Vertraulichkeitsvereinbarung auch die Sicherheitsrichtlinien für die Nutzung der jeweiligen IT-Systeme unterzeichnen.

Eine Vertraulichkeitsvereinbarung bietet die rechtliche Grundlage für die Verpflichtung externer Mitarbeiter zur vertraulichen Behandlung von Informationen. Aus diesem Grund muss sie alle relevanten Gesetze und Bestimmungen für die Organisation in dem speziellen Einsatzbereich berücksichtigen, klar formuliert sein und aktuell gehalten werden.

Es kann sinnvoll sein, verschiedene Vertraulichkeitsvereinbarungen je nach Einsatzzweck zu verwenden. In diesem Fall muss klar definiert werden, welche Vereinbarung für welche Fälle notwendig ist.

Prüffragen:

  • Werden mit Externen Vertraulichkeitsvereinbarungen getroffen, bevor sie Zugang und Zugriff auf vertraulichen Informationen erhalten?

  • Werden durch die verwendeten Vertraulichkeitsvereinbarungen alle wichtigen Aspekte zum Schutz von organisationsinternen Informationen berücksichtigt?

Stand: 13. EL Stand 2013