3A4 NDA

Vertrauliche Informationen: Sämtliche Informationen und Unterlagen, die der Auftraggeber im Zusammenhang mit der Ausschreibung oder der Ausführung der Empfangs‑ und Serviceeingangsdienstleistungen offenlegt oder zugänglich macht.

• Dokumente zur Ausschreibung, Leistungsverzeichnisse, Sicherheits- und Zutrittskonzepte, Arbeitsanweisungen und Einsatzpläne.

• Daten über Besucher, Lieferanten, Mitarbeiter und sonstige Personen (wie Namen, Kontaktdaten, Ausweisnummern, Fahrzeugkennzeichen, Zugangsberechtigungen) sowie Daten über Warenbewegungen und Lieferungen.

• IT‑Systeme, Software, Kommunikationsinfrastruktur und sicherheitsrelevante Systeme, inklusive Zugangsdaten, Passwörter, Nutzerprofile und Protokolldateien.

• Geschäftsgeheimnisse, wirtschaftliche Informationen, Verträge, strategische Planungen, Sicherheits‑ und Krisenmanagementmaßnahmen.

• Parteien: Der Auftraggeber als ausschreibende Stelle und der Dienstleister als Bieter bzw. Auftragnehmer.

• Zulässige Verwendung: Die Nutzung der vertraulichen Informationen ist ausschließlich auf die Zwecke der Angebotsabgabe, der Bewertung der Ausschreibung, die Vorbereitung des Vertragsabschlusses und die ordnungsgemäße Erbringung der Empfangs‑ und Serviceeingangsdienstleistungen beschränkt. Jede weitergehende Nutzung, etwa zu eigenen kommerziellen Zwecken, zur Weitergabe an Dritte oder zur Konkurrenzanalyse, ist unzulässig.

• Mitarbeitende: Angestellte, Fremdfirmenmitarbeiter, Subunternehmer, Praktikanten und sonstige Personen, die vom Dienstleister eingesetzt werden und Zugang zu vertraulichen Informationen haben. Der Dienstleister verpflichtet sich, alle Mitarbeitenden vor Aufnahme ihrer Tätigkeit zur Geheimhaltung zu verpflichten. § 53 BDSG bestimmt, dass Personen, die mit der Verarbeitung personenbezogener Daten betraut sind, diese Daten weder unbefugt verarbeiten noch offenbaren dürfen; diese Pflicht bleibt auch nach Beendigung der Tätigkeit bestehen.

• Empfang: Der räumliche und organisatorische Bereich des industriellen Gebäudes, der als erster Anlaufpunkt für Besucher, Lieferanten, Mitarbeitende und Dienstleister dient. Zu seinen Aufgaben gehören die Anmeldung von Personen und Fahrzeugen, die Ausgabe und Rücknahme von Ausweisen, die Kontrolle von Lieferungen, die Weiterleitung von Besuchern, die Koordination mit dem Sicherheitsdienst und die Überwachung der Zutrittsberechtigungen.

• Wahrung der Vertraulichkeit: Der Dienstleister verpflichtet sich, alle vertraulichen Informationen, die ihm im Zuge der Ausschreibung, der Vertragsverhandlungen oder der Auftragsdurchführung zur Kenntnis gelangen, streng vertraulich zu behandeln. Er wird diese Informationen nur denjenigen Mitarbeitenden offenbaren, die sie zwingend für die Angebotserstellung und die Durchführung der Leistungen benötigen. Die Mitarbeitenden sind zur Geheimhaltung in einer schriftlichen Erklärung zu verpflichten; generelle Klauseln im Arbeitsvertrag reichen nicht aus.

• Schutzmaßnahmen: Der Dienstleister ergreift geeignete technische und organisatorische Maßnahmen, um die Sicherheit der vertraulichen Daten zu gewährleisten. Dies umfasst insbesondere die Implementierung von Zugangskontrollen, die Verschlüsselung oder Pseudonymisierung sensibler Daten, die Sicherstellung der Integrität und Verfügbarkeit der Systeme sowie die regelmäßige Überprüfung der Wirksamkeit dieser Maßnahmen entsprechend Art. 32 DSGVO. Alle Datenträger und Speichermedien sind so zu verwahren, dass unberechtigte Dritte keinen Zugang erhalten.

• Einsatz qualifizierten Personals: Der Dienstleister stellt sicher, dass das im Empfang eingesetzte Personal fachlich geeignet, zuverlässig und im Umgang mit vertraulichen Informationen geschult ist. Die Mitarbeitenden müssen über gute Deutsch‑ und gegebenenfalls Englischkenntnisse verfügen, ein professionelles Auftreten zeigen und mit den Sicherheitsrichtlinien des Auftraggebers vertraut gemacht werden.

• Beschränkung des Informationszugangs: Zugriff auf vertrauliche Informationen darf nur in dem Umfang gewährt werden, wie es zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist. Dies gilt sowohl für elektronische als auch für physische Unterlagen. Die Erstellung von Kopien oder Abschriften vertraulicher Dokumente bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers.

• Vernichtung / Rückgabe von Unterlagen: Nach Abschluss der Arbeiten oder auf Anweisung des Auftraggebers hat der Dienstleister sämtliche ihm überlassene Unterlagen, Datenträger und Aufzeichnungen zurückzugeben oder nachweislich datenschutzgerecht zu vernichten. Die Vernichtung hat unter Berücksichtigung anerkannter Standards (z. B. DIN 66399) zu erfolgen; die ordnungsgemäße Vernichtung ist schriftlich zu dokumentieren.

• Nutzung ausschließlich für Vertragszwecke: Der Dienstleister verpflichtet sich, vertrauliche Informationen weder direkt noch indirekt für eigene Zwecke, für andere Projekte noch zum Vorteil Dritter zu nutzen. Insbesondere ist es untersagt, die vertraulichen Informationen zur Erlangung von Wettbewerbsvorteilen, zur Abwerbung von Mitarbeitenden des Auftraggebers oder zur Entwicklung eigener Dienste zu verwenden.

• Anmeldung und Zugangskontrolle: Im Rahmen der Serviceeingangsdienstleistungen stellt der Dienstleister sicher, dass alle Besucher, Lieferanten und Dienstleistende bei Ankunft registriert und deren Identität anhand gültiger Ausweisdokumente überprüft werden. Besucherausweise und Zugangsmedien werden nur nach autorisierter Anmeldung ausgehändigt; Rückgabe und ordnungsgemäße Dokumentation beim Verlassen des Geländes sind sicherzustellen. Der Dienstleister führt Besuchs‑ und Lieferantenlisten, die vertraulich zu behandeln sind.

• Kommunikation und Telefonzentrale: Die Mitarbeitenden am Empfang übernehmen die Bedienung der Telefonzentrale, leiten eingehende Anrufe an zuständige Stellen weiter, geben Auskünfte gemäß den Weisungen des Auftraggebers und protokollieren relevante Informationen. Sämtliche telefonische und schriftliche Kommunikation, die vertrauliche Informationen enthält, ist diskret zu behandeln.

• Koordination mit Sicherheits‑ und Facility‑Management: Der Dienstleister arbeitet eng mit dem Sicherheitsdienst, dem technischen Facility Management und der Unternehmensleitung zusammen, um reibungslose Abläufe zu gewährleisten. Dazu gehört das Management von Schlüssel‑ und Schließsystemen, die Überwachung von Zutrittsberechtigungen in elektronischen Systemen sowie die unverzügliche Meldung von Unregelmäßigkeiten, Zwischenfällen oder Sicherheitsverletzungen.

• Notfall‑ und Krisenmanagement: Das Personal des Dienstleisters ist in Notfallprozeduren (z. B. Brandalarm, medizinische Notfälle, Evakuierung) zu schulen. Bei Vorfällen, die die Sicherheit oder den Datenschutz betreffen, ist unverzüglich der Sicherheitsbeauftragte des Auftraggebers zu informieren; vertrauliche Informationen über den Vorfall dürfen nur an die zuständigen Personen weitergegeben werden.

• Schulung und Sensibilisierung: Der Dienstleister sorgt für die regelmäßige Schulung seiner Mitarbeitenden hinsichtlich Datenschutz, Informationssicherheit, Besuchermanagement, Konfliktvermeidung und Serviceorientierung. Die Schulungen sind zu dokumentieren; Nachweise können vom Auftraggeber angefordert werden.

• Einhaltung gesetzlicher Vorschriften: Neben den in dieser Vereinbarung niedergelegten Pflichten verpflichtet sich der Dienstleister, alle relevanten gesetzlichen Bestimmungen einzuhalten, darunter das BDSG, die DSGVO sowie arbeits‑, sicherheits‑ und gewerberechtliche Vorschriften. Der Dienstleister trägt dafür Sorge, dass alle Mitarbeitenden im Rahmen der Rechtsvorschriften handeln.

die dem Dienstleister vor Erhalt bereits rechtmäßig bekannt waren und nicht der Geheimhaltung unterlagen;

die ohne Verschulden des Dienstleisters öffentlich bekannt werden;

die dem Dienstleister von einem Dritten rechtmäßig und ohne Verletzung einer Geheimhaltungspflicht offenbart wurden;

deren Offenlegung aufgrund gesetzlicher Vorschriften, gerichtlicher oder behördlicher Anordnungen zwingend erforderlich ist. In diesem Fall wird der Dienstleister den Auftraggeber unverzüglich informieren und gemeinsam Maßnahmen abstimmen, um den Umfang der Offenlegung zu begrenzen.

• Rechtsgrundlagen: Der Auftraggeber und der Dienstleister erkennen an, dass die Verarbeitung personenbezogener Daten im Rahmen der Empfangs‑ und Serviceeingangsdienstleistungen den Vorschriften der DSGVO und des BDSG unterliegt. Insbesondere verpflichtet Art. 5 Abs. 1 lit. f und Art. 32 DSGVO Unternehmen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugtem Zugriff oder Missbrauch zu schützen.

• Technische und organisatorische Maßnahmen: Der Dienstleister implementiert Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienstleistungen, darunter Pseudonymisierung und Verschlüsselung, Zugangskontrollen, Protokollierung, Backup‑ und Wiederherstellungsverfahren, regelmäßige Risikoanalysen und Sicherheitsüberprüfungen. Er stellt sicher, dass nur autorisierte Personen personenbezogene Daten verarbeiten und dass diese Personen entsprechend geschult sind.

• Datentransfer in Drittländer: Ohne ausdrückliche schriftliche Zustimmung des Auftraggebers dürfen keine personenbezogenen Daten in Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums übertragen werden. Soweit solche Transfers zur Vertragserfüllung erforderlich sind, verpflichtet sich der Dienstleister, geeignete Garantien (z. B. Standardvertragsklauseln) gemäß Art. 44–49 DSGVO zu implementieren.

• Unterauftragnehmer und Dritte: Der Einsatz von Subunternehmern oder Dritten zur Verarbeitung personenbezogener Daten bedarf der vorherigen schriftlichen Genehmigung des Auftraggebers. Der Dienstleister stellt sicher, dass diese Dritten vertraglich zur Einhaltung der Datenschutzanforderungen verpflichtet werden und die in dieser Vereinbarung festgelegten Sicherheitsstandards erfüllen.

• Meldung von Datenschutzvorfällen: Der Dienstleister verpflichtet sich, Verletzungen des Schutzes personenbezogener Daten (Data Breaches) unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, an den Auftraggeber zu melden. Die Meldung enthält Art und Umfang des Vorfalls, die betroffenen Datenkategorien, die voraussichtlichen Folgen sowie die eingeleiteten oder geplanten Abhilfemaßnahmen. Der Auftraggeber entscheidet über die weitere Vorgehensweise, einschließlich einer etwaigen Meldung an die zuständige Aufsichtsbehörde.

• Audit und Nachweispflichten: Der Auftraggeber ist berechtigt, nach vorheriger Ankündigung Prüfungen beim Dienstleister durchzuführen oder durch unabhängige Prüfer durchführen zu lassen, um die Einhaltung der Vereinbarung und der Datenschutzvorschriften zu kontrollieren. Der Dienstleister stellt alle erforderlichen Informationen und Nachweise zur Verfügung und gewährt Zugang zu relevanten Räumlichkeiten und Systemen.

• Datenminimierung und Speicherbegrenzung: Der Dienstleister verarbeitet personenbezogene Daten nur in dem Umfang und für die Dauer, die zur Erfüllung der vertraglichen Leistungen notwendig sind. Nach Wegfall des Zwecks werden personenbezogene Daten gelöscht oder anonymisiert, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Aufbewahrungsfristen werden dokumentiert und der Auftraggeber erhält auf Anfrage Einsicht.

• Wirksamkeit der Vereinbarung: Diese Vereinbarung tritt mit der Unterzeichnung durch beide Parteien in Kraft und bleibt während der gesamten Dauer der Ausschreibung, der Vertragsverhandlungen sowie der Durchführung der Empfangs‑ und Serviceeingangsdienstleistungen gültig.

• Nachvertragliche Pflichten: Die Verpflichtung zur Geheimhaltung und zum Schutz der vertraulichen Informationen bleibt auch nach Ablauf oder Kündigung der Zusammenarbeit bestehen. Der Dienstleister verpflichtet sich, vertrauliche Informationen für einen Zeitraum von _____ Jahren nach Beendigung des Vertragsverhältnisses nicht offenzulegen oder zu nutzen. Gesetzliche Geheimhaltungspflichten oder längere vertragliche Fristen bleiben unberührt.

• Beendigung der Vereinbarung: Die Parteien können diese Vereinbarung aus wichtigem Grund mit sofortiger Wirkung kündigen. Kündigt der Auftraggeber wegen eines Verstoßes des Dienstleisters gegen die Geheimhaltungspflichten, so bleiben Schadensersatzansprüche unberührt. Eine ordentliche Kündigung während der Laufzeit des Hauptvertrages ist ausgeschlossen.

• Unterlassungs‑ und Beseitigungsanspruch: Verstößt der Dienstleister gegen seine Geheimhaltungspflichten, ist der Auftraggeber berechtigt, Unterlassung und Beseitigung der Beeinträchtigung zu verlangen. Weitere Rechte und Ansprüche, insbesondere auf Schadensersatz, bleiben hiervon unberührt.

• Schadensersatz und Freistellung: Der Dienstleister haftet dem Auftraggeber für sämtliche Schäden, die diesem durch eine schuldhafte Verletzung der Geheimhaltungspflichten entstehen. Dazu zählen unmittelbare und mittelbare Schäden, einschließlich Vermögensschäden, Reputationsverluste und behördliche Bußgelder, die aus Datenschutzverstößen resultieren. Der Dienstleister stellt den Auftraggeber von sämtlichen Ansprüchen Dritter frei, die auf einer Verletzung dieser Vereinbarung beruhen.

• Vertragsstrafe: Bei schwerwiegenden oder wiederholten Verstößen gegen die Geheimhaltungspflichten kann eine Vertragsstrafe vereinbart werden. Die Höhe der Vertragsstrafe wird im Hauptvertrag geregelt und steht unter dem Vorbehalt der richterlichen Kontrolle.

• Haftungsausschlüsse: Eine Haftungsbeschränkung auf einen Höchstbetrag ist nur wirksam, wenn sie ausdrücklich schriftlich vereinbart ist. Für Schäden aus der Verletzung von Leben, Körper oder Gesundheit, für vorsätzlich oder grob fahrlässig verursachte Schäden sowie für datenschutzrechtliche Verstöße haftet der Dienstleister unbegrenzt.

• Rückgabepflicht: Auf Anforderung des Auftraggebers, spätestens mit Beendigung des Vertragsverhältnisses, gibt der Dienstleister alle ihm im Rahmen der Vertragsbeziehung überlassenen vertraulichen Informationen unverzüglich zurück. Dies umfasst physische Unterlagen, elektronische Daten, Kopien, Abschriften und sonstige Reproduktionen.

• Vernichtungspflicht: Kann eine Rückgabe nicht erfolgen (z. B. bei elektronischen Sicherungskopien), so sind die betreffenden Daten datenschutzkonform zu vernichten oder unwiederbringlich zu löschen. Die Vernichtung ist gemäß anerkannten Standards durchzuführen und dem Auftraggeber schriftlich zu bestätigen.

• Aufbewahrungspflichten: Soweit gesetzliche Aufbewahrungsfristen (z. B. steuer‑ oder handelsrechtliche Pflichten) die Rückgabe oder Vernichtung verhindern, werden die entsprechenden Unterlagen gesperrt, nur zu gesetzlich zulässigen Zwecken weiterverarbeitet und nach Ablauf der Fristen vernichtet.

• Rechtswahl: Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland. Es findet ausschließlich deutsches Recht Anwendung, auch wenn die Dienstleistung ganz oder teilweise im Ausland erbracht wird.

• Gerichtsstand: Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist, soweit zulässig, der Sitz des Auftraggebers. Der Auftraggeber kann jedoch den Dienstleister auch an dessen allgemeinen Gerichtsstand in Anspruch nehmen. Zwingende gesetzliche Bestimmungen über ausschließliche Gerichtsstände bleiben unberührt.

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine solche zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für einen Verzicht auf das Schriftformerfordernis.

Diese Vereinbarung begründet keine Verpflichtung des Auftraggebers, einen Auftrag zu erteilen oder den Dienstleister zu beauftragen. Die Vergabeentscheidung bleibt dem Auftraggeber vorbehalten.

Auftraggeber (öffentliche oder private Auftraggeberin)

Name der autorisierten Vertreterin / des autorisierten Vertreters: ___________________________

Funktion / Titel: ___________________________

Unterschrift, Ort, Datum: ___________________________

Dienstleister (Bieter)

Name der autorisierten Vertreterin / des autorisierten Vertreters: ___________________________

Funktion / Titel: ___________________________

Unterschrift, Ort, Datum: ___________________________