Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

3A3 Vertraulichkeit & NDA

Facility Management: Zutritt » Ausschreibung » Ausschreibungsverfahren » 3A3 Vertraulichkeit & NDA

Vertraulichkeits- und Geheimhaltungsvereinbarung

Vertraulichkeits- und Geheimhaltungsvereinbarung

Empfangs- und Zutrittskontrolle – Ausschreibung von Zugangskontrollsystemen

(Entwurf des Auftraggebers an den Bieter)

Verbindliche Regelungen zum Schutz sensibler Informationen

Einleitung

Diese Vertraulichkeits- und Geheimhaltungsvereinbarung (im Folgenden „Vereinbarung“) legt die Pflichten des Bieters im Umgang mit sämtlichen vertraulichen Informationen fest, die dem Bieter im Rahmen der Ausschreibung für Zugangskontrollsysteme im Empfangs- und Eingangsbereich zur Verfügung gestellt werden. Der Auftraggeber ermöglicht dem Bieter während des Vergabeverfahrens den Zugang zu sicherheitsrelevanten Daten, Systemdokumentationen und Verfahrensanweisungen, um ein detailliertes Angebot für das Zutrittskontrollsystem in einer Industrieanlage in Hamburg erstellen zu können. Ziel dieser Vereinbarung ist es, die Vertraulichkeit dieser sensiblen Informationen dauerhaft zu gewährleisten und sicherzustellen, dass keine unbefugte Nutzung oder Weitergabe erfolgt.

Gegenstand dieser Vereinbarung sind insbesondere Betriebs- und Geschäftsgeheimnisse des Auftraggebers sowie personenbezogene Daten von Mitarbeitern, Besuchern und Dienstleistern (z. B. Zutrittsberechtigungen, biometrische Merkmale, Ausweis- und Berechtigungsdaten), sicherheits- und betriebstechnische Informationen (z. B. Systemkonfigurationen, Verschlüsselungsschlüssel, Zutrittslogbücher) sowie interne Prozesse, Notfall- und Eskalationspläne. Der Bieter verpflichtet sich, sämtliche im Rahmen dieser Ausschreibung bekannt gewordenen Informationen geheim zu halten und ausschließlich im Rahmen des vorgesehenen Vertragszwecks zu verwenden.

Geltungsbereich der Vertraulichkeit- Geschützte Informationen

Im Sinne dieser Vereinbarung gelten als vertraulich alle dem Bieter im Rahmen der Ausschreibung zugänglich gemachten Informationen, Unterlagen oder Daten, die besonderen Schutz genießen müssen.

Hierzu zählen insbesondere:

  • Zutrittskontrollprotokolle, Audit-Trails und Systemereignisaufzeichnungen aller kontrollierten Zugangspunkte.

  • Personenbezogene Daten von Mitarbeitern, Besuchern und Dienstleistern (z. B. Zugangsdaten, biometrische Merkmale, Ausweis- und Berechtigungsinformationen, Besucherausweise).

  • Technische Systemkonfigurationsdaten und sicherheitsrelevante Dokumentationen (z. B. Zutrittskontrollsystem-Einstellungen, Verschlüsselungsschlüssel, Netzwerkschnittstellen- und Integrationsdetails).

  • Vorfallberichte und Protokolle über Alarme, Störungen sowie Eskalations- und Notfallpläne.

  • Überwachungs- und Kontrollunterlagen (z. B. Videoaufzeichnungen oder elektronische Logdaten von Überwachungssystemen am Empfangsbereich).

Ausgenommene Informationen- Die Geheimhaltungsverpflichtungen dieser Vereinbarung gelten nicht für Informationen, die:

  • der Öffentlichkeit allgemein zugänglich oder bekannt sind oder nachträglich ohne Verschulden des Bieters öffentlich werden,

  • dem Bieter bereits vor Offenlegung durch den Auftraggeber rechtmäßig bekannt waren oder von diesem unabhängig und eigenständig entwickelt wurden,

  • von einem Dritten erhalten wurden, der die betreffenden Informationen nicht aufgrund einer Geheimhaltungsvereinbarung erhalten hat,

  • unabhängig vom Auftraggeber von Dritten entwickelt wurden, ohne dass dabei vertrauliche Informationen des Auftraggebers verwendet wurden.

In allen Fällen trägt der Bieter die Beweislast für das Vorliegen einer solchen Ausnahme.

Pflichten des Bieters

Der Bieter hat sämtliche in Ziffer 2 genannten Informationen während des gesamten Vergabeverfahrens und auch nach Vertragserteilung streng vertraulich zu behandeln.

Im Einzelnen gelten folgende Verpflichtungen:

  • Der Bieter stellt sicher, dass vertrauliche Informationen nur seinen unmittelbar in die Angebotserstellung eingebundenen Mitarbeitern und etwaigen Subunternehmern zugänglich gemacht werden, die diese im Rahmen ihrer Tätigkeit zwingend benötigen (Need-to-Know-Prinzip). Alle Personen müssen auf die Vertraulichkeitspflichten dieser Vereinbarung verpflichtet werden.

  • Der Bieter ergreift angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO sowie weiterer einschlägiger Sicherheitsstandards, um die Vertraulichkeit, Integrität und Verfügbarkeit der erhaltenen Daten zu gewährleisten. Dazu gehören beispielsweise Zugangsbeschränkungen, Verschlüsselung von Datenträgern und Kommunikation, regelmäßige Backups und Sicherheitsupdates sowie IT-Sicherheitsaudits.

  • Der Bieter darf vertrauliche Informationen weder ohne ausdrückliche Genehmigung des Auftraggebers kopieren noch vervielfältigen, weiterleiten oder in anderer Weise unbefugt nutzen. Jegliche Vervielfältigungen dürfen nur zur Erfüllung des Vertragszwecks angefertigt werden und sind nach Abschluss des Vergabeverfahrens oder Beendigung der Vereinbarung unverzüglich zu vernichten.

  • Eine Weitergabe vertraulicher Daten an Dritte außerhalb des Vertragsgegenstands ist ausdrücklich untersagt, sofern der Auftraggeber hierfür nicht zuvor schriftlich seine Zustimmung erteilt hat. Dies betrifft insbesondere die Übermittlung an verbundene Unternehmen oder externe Dienstleister, sofern sie nicht explizit mit der Leistungserbringung beauftragt sind.

  • Der Bieter ist verpflichtet, den Auftraggeber unverzüglich schriftlich zu informieren, wenn ihm Sicherheitsvorfälle, Datendiebstahl oder sonstige Verstöße gegen die Geheimhaltungsverpflichtung bekannt werden oder vermutet werden. In einem solchen Fall wird der Bieter alle zumutbaren Maßnahmen ergreifen, um die Ausbreitung des Vorfalls zu verhindern und den Schaden einzudämmen.

Rechtliche und Verfahrensanforderungen

Diese Vereinbarung tritt mit Unterzeichnung durch den Bieter in Kraft und gilt während des gesamten Vergabeverfahrens. Die Geheimhaltungsverpflichtungen bleiben auch nach einer etwaigen Auftragserteilung weiterhin bestehen, mindestens jedoch für fünf (5) Jahre nach Beendigung des Vertragsverhältnisses, sofern nicht zwingende gesetzliche Vorschriften (z. B. Aufbewahrungsfristen nach dem Geschäftsgeheimnisgesetz) eine andere Frist vorsehen.

Der Bieter verpflichtet sich, sämtliche Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO, EU 2016/679) sowie des Bundesdatenschutzgesetzes (BDSG) und weiterer anwendbarer datenschutz- und sicherheitsrechtlicher Vorschriften einzuhalten. Insbesondere werden personenbezogene Daten nur gemäß den datenschutzrechtlichen Vorgaben verarbeitet und ausschließlich für die Zwecke der Ausschreibung verwendet.

Verstößt der Bieter gegen eine dieser Verpflichtungen, kann dies zum Ausschluss von der Ausschreibung oder zur Kündigung des Auftrags führen. Der Auftraggeber behält sich zudem vor, Schadensersatzansprüche geltend zu machen und die zuständigen Aufsichtsbehörden bei schweren Datenschutz- oder Geheimnisverletzungen zu informieren.

Diese Vereinbarung unterliegt deutschem Recht. Gerichtsstand für alle Streitigkeiten aus dieser Vereinbarung ist – soweit gesetzlich zulässig – Hamburg. Sollte eine Bestimmung dieser Vereinbarung unwirksam oder nicht durchsetzbar sein, so bleiben die übrigen Bestimmungen hiervon unberührt. Die unwirksame Bestimmung gilt als durch eine solche Regelung ersetzt, die ihrem wirtschaftlichen Zweck am nächsten kommt.

Rückgabe und Löschung von Daten

Nach Abschluss des Vergabeverfahrens oder nach Beendigung des Vertragsverhältnisses hat der Bieter alle vertraulichen Informationen, Unterlagen und Datenträger unverzüglich und vollständig an den Auftraggeber zurückzugeben oder – auf Anweisung des Auftraggebers – sicher zu vernichten. Dies umfasst sowohl physische Dokumente als auch alle elektronischen Dateien, Sicherungskopien, Protokolle oder Notizen, die auf den vertraulichen Informationen basieren.

Die Löschung elektronischer Daten ist so vorzunehmen, dass eine Wiederherstellung ausgeschlossen ist (z. B. durch vollständiges Überschreiben oder Vernichtung der Datenträger). Der Bieter hat dem Auftraggeber auf Verlangen schriftlich oder elektronisch zu bestätigen, dass sämtliche vertraulichen Informationen ordnungsgemäß zurückgegeben oder gelöscht wurden.

Eine anderweitige Speicherung oder Aufbewahrung von Zutrittsprotokollen, Passwörtern, Zugangsdaten oder anderen sensiblen Informationen über die Beendigung des Vergabeverfahrens hinaus ist nur mit ausdrücklicher schriftlicher Zustimmung des Auftraggebers zulässig. Jegliche Nutzung vertraulicher Informationen für andere als die vertraglich vereinbarten Zwecke ist untersagt.

Bestätigung und Vereinbarung

Mit der Unterzeichnung dieser Vereinbarung bestätigt der Bieter, dass er die vorstehenden Bestimmungen in vollem Umfang gelesen und verstanden hat. Er verpflichtet sich, alle genannten Anforderungen einzuhalten. Zudem stellt der Bieter sicher, dass seine Mitarbeiter und beauftragten Erfüllungsgehilfen, die Zugang zu vertraulichen Informationen erhalten, ebenfalls auf die Vertraulichkeit verpflichtet werden.

Diese Vertraulichkeits- und Geheimhaltungsvereinbarung ist Bestandteil der Ausschreibungsunterlagen. Die Vorlage einer von den genannten Personen unterzeichneten Ausfertigung ist Voraussetzung für die Teilnahme am Vergabeverfahren.

Für den Auftraggeber

Name: ____________________________

Position: _________________________

Unternehmen: ______________________

Datum: ___________________________

Unterschrift & Firmenstempel: ________

Für den Bieter

Name: ____________________________

Position: _________________________

Unternehmen: ______________________

Datum: ___________________________

Unterschrift & Firmenstempel: ________