Vertraulichkeitsabkommen

Non-Disclosure Agreement (NDA) im Rahmen der Kollaborationsplattform 3KP.

Auftraggeberin:

Finanzdepartement des Kantons Basel-Stadt,
Informatiksteuerung und Organisation (ISO)
Fachstelle Risiko- & Sicherheitsmanagement (ISO-RSM)
Spiegelgasse 4, CH-4051 Basel

Auftragnehmerin: Die Firma oder Einzelperson akzeptiert die folgenden Bestimmungen durch das Annehmen des NDA bei der Registrierung auf der Kollaborationsplattform 3KP.

1. Zweck und Geltungsbereich dieser Vereinbarung

Die Parteien beabsichtigen, im Rahmen ihrer Zusammenarbeit die dafür notwendigen vertraulichen und ihnen gehörenden Informationen („vertrauliche Informationen”) gegenseitig offen zu legen und auszutauschen insbesondere über die Kollaborationsplattform 3KP. Diese Vertraulichkeitsvereinbarung (NDA) regelt den Umgang mit diesen vertraulichen Informationen und die damit verbundenen Verpflichtungen für beide Parteien. 

2. Gesetzliche Grundlage

Dieses NDA basiert auf den folgenden gesetzlichen Grundlagen:  

  • Kantonales Gesetz über die Information und den Datenschutz (IDG) 153.260
  • Verordnung über die Information und den Datenschutz (IDV) 153.270 
  • Verordnung über die Informationssicherheit (ISV) 153.320

Darüber hinaus akzeptiert die Auftragnehmerin die Allgemeinen Geschäftsbedingungen der Schweizerischen Informatikkonferenz (AGB-SIK) in der aktuellen Version zum Zeitpunkt der Registrierung auf der Kollaborationsplattform 3KP.

Die Vertragsparteien nehmen zur Kenntnis, dass §3 Abs.1 IDG auch auf Private Anwendung findet, soweit diesen vom Kanton oder den Gemeinden die Erfüllung einer öffentlichen Aufgabe übertragen ist.

Wer als beauftragte Drittperson gemäss §7 ohne ausdrückliche Ermächtigung des auftraggebenden öffentlichen Organs vorsätzlich oder fahrlässig Personendaten für sich oder andere verwendet oder anderen bekannt gibt, wird mit Busse bestraf (§51 Abs.1 IDG).

Wer Personendaten, die sie oder er von einem öffentlichen Organ zum Bearbeiten zu nicht personenbezogenen Zwecken erhalten hat, vorsätzlich oder fahrlässig entgegen der Verpflichtung gemäss §22 Abs. 4 für andere Zwecke bearbeitet oder an Dritte weitergibt, wird mit Busse bestraft (§51 Abs.2 IDG).

3. Vertrauliche Informationen

Als vertrauliche Informationen gelten Informationen, von denen die Parteien im Rahmen der gegenseitigen Geschäftsbeziehung Kenntnis erhalten, welche  als vertraulich bezeichnet sind oder deren Vertraulichkeit offensichtlich ist.

Diese vertraulichen Informationen beinhalten Informationen welche einander mündlich, schriftlich, oder durch irgendein anderes Medium gegenseitig offen gelegt oder ausgetauscht werden, insbesondere die Kollaborationsplattform 3KP. Gleichermassen gilt die Tatsache von Kontakten unter den Parteien, von Verhandlungen oder von eingegangenen gegenseitigen Geschäfts-beziehungen bzw. der Unterzeichnung eines Zusammenarbeitsvertrages als Teil von vertraulichen Informationen.

4. Verpflichtungen der Parteien

Die Auftraggeberin und Auftragnehmerin verpflichten sich zur Geheimhaltung aller im Rahmen der Auftragserfüllung bekannt gewordenen vertraulichen Informationen. Mit dem Akzeptieren dieser Vertraulichkeitsvereinbarung (NDA) verpflichten sich beide Parteien, die ihr anvertrauten Informationen ausschliesslich für die Erfüllung der ihr übertragenen Aufgaben zu verwenden. Jede andere Art der Bearbeitung oder die Verwendung der Personendaten oder weiterer im Rahmen der Auftragserfüllung erhobener Informationen zu einem anderen Zweck als die vereinbarte Zusammenarbeit ist ausdrücklich untersagt, sofern die Gegenpartei dem nicht ausdrücklich zugestimmt hat.

Die Parteien erklären sich einverstanden, die vertraulichen Informationen mit den notwendigen  und  angemessenen organisatorischen und technischen Schutzmassnahmen abzusichern, um diese vor Offenlegung, Missbrauch oder Diebstahl zu schützen.

Vertrauliche Informationen in handfester (materieller) Form sollen von keiner Partei vervielfältigt werden, ausser für die Zwecke dieses Abkommens und zur Erfüllung von vertraglichen Verpflichtungen im Rahmen eingegangener gegenseitiger Geschäftsbeziehungen.

Die Parteien stellen sicher, dass ihre Mitarbeitenden bzw. ihre Vertreterinnen und Vertreter welche die vertrauliche Informationen erhalten oder erhalten könnten, der Gegenpartei vorgängig bekannt gegeben werden, gleichermassen der Vertraulichkeit unterliegen, den Inhalt dieser Vertraulichkeitserklärung kennen, diese akzeptiert haben und danach handeln.

Ohne vorgängige, schriftliche Zustimmung der anderen Partei, wird keine Partei noch deren Vertreterinnen und Vertreter, vertrauliche Informationen ganz oder teilweise auf irgendeine Art an Dritte bekannt geben.

5. Organisatorische und technische Schutzmassnahmen

Beide Parteien gewährleisten die im Rahmen der ordnungsmässigen Abwicklung ihrer Leistungen erforderlichen organisatorischen und technischen Sicherheitsmassnahmen zum Schutz der ihnen übertragenen vertraulichen Informationen. Dazu zählen insbesondere angemessene Sicherheitskonzepte, Organisationsreglemente sowie organisatorische und technische Schutzmassnahme zur Sicherstellung, dass nur berechtigte Personen Zugriff auf die vertraulichen Informationen erhalten.

Zur Sicherstellung der Identität seitens der Auftragnehmerin werden für das Anlegen von Benutzerkonten nur E-Mail-Adressen akzeptiert, bei denen der Arbeitgeber oder der E-Mail-Provider die Identität der Benutzer überprüft. In der Schweiz bietet beispielsweise Swisscom solche kostenlosen E-Mail-Adressen unter „@bluewin.ch“ an, bei denen aufgrund der Telefonnummer oder per Postweg die Identität der Benutzerinnen und Benutzer überprüft wird.

Die Auftragnehmerin haftet für die Handlungen ihrer Mitarbeitenden bzw. ihrer Vertreterinnen und Vertreter. Wenn auf der Seite der Auftragnehmerin mehrere Personen dasselbe Benutzerkonto verwenden, muss die Auftragnehmerin mit kompensierenden Kontrollen wie beispielsweise Arbeitsplänen nachvollziehen und belegen können, wer zu welchem Zeitpunkt das Benutzerkonto verwendet hat.

Für die eigentliche Kommunikation mittels E-Mail besteht für die Auftragnehmerin keine Einschränkungen dazu, welche E-Mail-Adresse verwendet werden muss.

6. Prüfungsrecht der Auftraggeberin

Die Auftraggeberin ist berechtigt, unter Beachtung einer angemessenen Vorankündigungsfrist, die Einhaltung der Bestimmungen aus dieser Vereinbarung bei der Auftragnehmerin zu prüfen oder durch eine beauftragte und kompetente Drittpartei prüfen zu lassen. Diejenigen Personen welche die Prüfung durchführen, unterliegen ebenfalls diesem NDA.

Die Auftragnehmerin verpflichtet sich, die Auftraggeberin bei der Durchführung der Prüfung zu unterstützen, die dafür notwendigen Informationen zur Verfügung zu stellen und den Zutritt zu den dafür benötigten Räumlichkeiten zu garantieren.

7. Dauer, Inkrafttreten, Beendigung

Das vorliegende Vertraulichkeitsabkommen tritt mit dem Akzeptieren des NDA im Rahmen der Registrierung auf der Kollaborationsplattform 3KP in Kraft.

Diese Vereinbarung kann nur durch eine von beiden Parteien ordnungsgemäss durchgeführte Neufassung schriftlich verändert (angepasst) oder aufgelöst werden.

Auf Verlangen der Auftraggeberin hat die Auftragnehmerin alle erhaltenen vertraulichen Informationen, in schriftlicher oder handfester (materieller) Form, einschliesslich Kopien, Reproduktionen oder anderer Medien, innerhalb von zehn (10) Tagen nach einem solchen Begehren komplett zurückgeben oder nachweislich vernichten.

Diese Verpflichtung bleibt auch nach Beendigung des Auftrages bestehen. Die Verpflichtungen der Parteien unter diesem Abkommen bleiben zehn (10) Jahre ab Datum der letzten Offenlegung vertraulicher Informationen gegenüber der anderen Partei in Kraft, und zwar ungeachtet einer Beendigung der Kontakte oder des Nichtzustandekommens einer gegenseitigen Geschäftsbeziehung oder der Unterzeichnung eines Zusammenarbeitsvertrages.

Ferner sollen die Rechte und Pflichten der Parteien unter diesem Abkommen nicht tangiert werden durch  Konkurs- oder Nachlassverfahren, Übereignung, Haftungs- oder Beschlagnahme-verfahren, auch falls veranlasst durch eine Partei oder eine Behörde gegen einer Partei.

Die Parteien sind berechtigt, zur Erfüllung von zwingenden gesetzlichen und regulatorischen Aufbewahrungspflichten nach vorgängiger Absprache mit der anderen Partei übergebene vertrauliche Informationen zu behalten, haben diese jedoch weiterhin im Rahmen dieses Abkommens vertraulich zu behandeln und mit angemessenen organisatorischen und technischen Schutzmassnahmen abzusichern.

8. Übertragung

Keine der Parteien darf dieses Abkommen oder irgendwelche Rechte und Pflichten daraus übertragen, ohne die ausdrückliche, schriftliche vorher erhaltene Zustimmung der anderen Partei. Bei einer Übernahme der Auftragnehmerin durch einen Dritten, muss die Auftragnehmerin dem Dritten alle Rechte und Pflichten aus diesem Abkommen rechtsgültig überbinden.

9. Teilungültigkeit

Sollten Teile dieses Abkommens nichtig sein oder rechtsunwirksam werden, so gilt der Rest des Abkommens weiter. Die Parteien werden dann das Abkommen so auslegen und gestalten, dass der mit den nichtigen oder rechtsunwirksamen Teilen angestrebte Zweck soweit als möglich dennoch erreicht wird.

10. Gerichtsstand

Dieses Abkommen untersteht ausschliesslich schweizerischem Recht. Gerichtsstand für alle sich aus diesem Abkommen ergebenden Streitigkeiten ist ausschliesslich Basel.

11. Ausfertigung und Unterzeichnung

Dieses NDA ist ein Dokument ohne Unterschrift. Die Verpflichtung zu den Bestimmungen dieser Vereinbarung wird durch das Akzeptieren des NDA im Rahmen der Registrierung auf der Kollaborationsplattform 3KP eingegangen.

nach oben