Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Personenbezogene Kontrolle

A.6.6 — Vertraulichkeitsvereinbarungen

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.6.6 ISO 27001ISO 27002BSI CON.9

Dein Unternehmen beauftragt einen externen IT-Dienstleister mit der Migration der Kundendatenbank. Der Dienstleister hat Zugang zu Kundennamen, Vertragsdaten und Zahlungsinformationen. Eine Vertraulichkeitsvereinbarung wurde mündlich besprochen, aber nie unterschrieben. Drei Monate später erwähnt ein Mitarbeiter des Dienstleisters bei einem Branchentreffen Details aus dem Projekt. A.6.6 verhindert dieses Szenario durch systematische, rechtlich bindende Geheimhaltungsvereinbarungen.

Die Kontrolle verlangt, dass alle Personen und Organisationen mit Zugang zu vertraulichen Informationen eine dokumentierte Vertraulichkeitsvereinbarung unterzeichnen — und dass diese Vereinbarungen aktuell gehalten werden.

Was verlangt die Norm?

  • Vereinbarungen für alle relevanten Parteien. Jede Person und Organisation mit Zugang zu vertraulichen Informationen unterzeichnet eine Vertraulichkeitsvereinbarung — Beschäftigte, externe Dienstleister, Partner, Berater.
  • Inhaltliche Mindestanforderungen. Die Vereinbarung definiert, welche Informationen vertraulich sind, wie lange die Pflicht gilt, was bei Beendigung passiert und welche Konsequenzen ein Verstoß hat.
  • Rechtliche Durchsetzbarkeit. Die Vereinbarung muss den geltenden Gesetzen entsprechen und im Streitfall durchsetzbar sein.
  • Regelmäßige Überprüfung. Die Vereinbarungen werden periodisch überprüft und bei Änderungen der Rechtslage, der Geschäftsbeziehung oder des Geltungsbereichs aktualisiert.
  • Eigentum und Nutzungsrechte. Die Vereinbarung regelt, wem die Informationen gehören und unter welchen Bedingungen sie genutzt werden dürfen.

In der Praxis

Register aller Vereinbarungen führen. Ein zentrales Register dokumentiert: Wer hat wann welche Vereinbarung unterschrieben, welche Version, wann läuft sie ab, wann steht die nächste Überprüfung an? Ohne dieses Register verlierst du bei 50+ Vereinbarungen den Überblick und kannst im Audit nicht nachweisen, dass alle relevanten Parteien abgedeckt sind.

Unterzeichnung in den Onboarding-Prozess integrieren. Für interne Beschäftigte gehört die NDA-Unterzeichnung in die Onboarding-Checkliste — vor der Freischaltung von Zugängen. Für externe Dienstleister wird die NDA zum Bestandteil des Vertragsabschlusses. Der Einkauf prüft bei jeder Beauftragung, ob eine aktuelle NDA vorliegt.

Jährliche Überprüfung der Vorlagen. Die Rechtsabteilung prüft einmal jährlich, ob die NDA-Vorlagen der aktuellen Rechtslage entsprechen. In Deutschland ist besonders das Geschäftsgeheimnisgesetz (GeschGehG) relevant: Es verlangt „angemessene Geheimhaltungsmaßnahmen” — eine NDA ist ein zentraler Baustein dafür.

Beendigung aktiv managen. Wenn eine Geschäftsbeziehung endet, wird die betroffene Partei an die fortgeltenden Pflichten erinnert und die Rückgabe oder Vernichtung vertraulicher Informationen dokumentiert. Das ist dieselbe Logik wie beim Offboarding (A.6.5) — auf externe Parteien übertragen.

Typische Audit-Nachweise

Auditoren erwarten bei A.6.6 typischerweise diese Nachweise:

  • Personalsicherheitsrichtlinie — Regelwerk für Vertraulichkeitsvereinbarungen (→ Personalsicherheitsrichtlinie im Starter Kit)
  • NDA-Vorlagen — aktuelle, rechtlich geprüfte Vorlagen für interne und externe Parteien
  • NDA-Register — Übersicht aller unterzeichneten Vereinbarungen mit Status und Ablaufdatum
  • Unterschriebene NDAs — Stichprobe aktueller Vereinbarungen
  • Überprüfungsprotokoll — Nachweis der jährlichen Vorlagenüberprüfung durch die Rechtsabteilung

KPI

% der relevanten Beteiligten mit unterzeichneten und aktuellen Geheimhaltungsvereinbarungen

Gemessen als Prozentsatz: Wie viele der Personen und Organisationen mit Zugang zu vertraulichen Informationen haben eine aktuelle, unterzeichnete Vertraulichkeitsvereinbarung? Ziel: 100%. „Aktuell” bedeutet: Die Vereinbarung basiert auf der aktuellen Vorlage und ist nicht abgelaufen.

Ergänzende KPIs:

  • Anteil der externen Dienstleister mit aktueller NDA
  • Anzahl der NDAs, die innerhalb der nächsten 90 Tage ablaufen (Frühwarnsystem)
  • Durchschnittliche Dauer zwischen Beauftragung eines externen Dienstleisters und NDA-Unterzeichnung

BSI IT-Grundschutz

A.6.6 mappt auf mehrere BSI-Anforderungen:

  • CON.9.A9 (Geheimhaltungsvereinbarungen für Outsourcing) — fordert Vertraulichkeitsvereinbarungen mit externen Dienstleistern im Rahmen von Outsourcing-Vorhaben. Die Vereinbarungen müssen den Umfang der zugänglichen Informationen und die Pflichten bei Vertragsende klar regeln.
  • ORP.2.A5 (Vertraulichkeitsvereinbarungen) — der Kernbaustein für interne Beschäftigte. Fordert den Abschluss von Vertraulichkeitsvereinbarungen als Teil des Beschäftigungsverhältnisses, bevor Zugang zu vertraulichen Informationen gewährt wird.
  • OPS.3.2.A18 (Vertraulichkeitsvereinbarungen bei Dienstleistern) — spezifische Anforderungen an NDAs im Kontext der Dienstleistersteuerung.
  • SYS.4.1.A2 (Wartungs- und Reparaturarbeiten) — fordert Vertraulichkeitsvereinbarungen mit Technikern, die bei Wartungsarbeiten Zugang zu Systemen und Daten erhalten.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Brauche ich eine NDA zusätzlich zum Arbeitsvertrag?

Wenn dein Arbeitsvertrag bereits eine umfassende Vertraulichkeitsklausel enthält, ist eine separate NDA für interne Beschäftigte nicht zwingend. In der Praxis empfiehlt sich trotzdem ein separates Dokument: Es lässt sich unabhängig aktualisieren und ist bei Rechtsstreitigkeiten klarer abgrenzbar. Für externe Parteien (Berater, Lieferanten, Partner) ist eine separate NDA Standard.

Wie oft müssen NDAs überprüft werden?

Mindestens jährlich im Rahmen der Richtlinienüberprüfung. Zusätzlich bei Änderungen der Rechtslage (z. B. Geschäftsgeheimnisgesetz), bei neuen Geschäftsbeziehungen und bei wesentlichen Änderungen im Geltungsbereich der Organisation. Die Überprüfung betrifft den Inhalt der Vorlage — bestehende Vereinbarungen müssen bei relevanten Änderungen ergänzt oder erneuert werden.

Was muss eine NDA mindestens enthalten?

Definition der vertraulichen Informationen, Umfang der Vertraulichkeitspflicht, Geltungsdauer, Pflichten bei Beendigung der Vereinbarung, Regelungen bei Verstößen und Gerichtsstand. Für den ISMS-Kontext besonders wichtig: Verweis auf die Informationsklassifizierung der Organisation und die Pflicht zur Rückgabe oder Vernichtung vertraulicher Informationen.