NDA für Auftragnehmer für Software-Unternehmen: Der komplette Leitfaden (mit kostenloser Vorlage)

Hier ist ein Szenario, das ständig passiert: Ein Software-Unternehmen beauftragt einen Freelancer mit der Entwicklung einer kritischen Funktion. Es teilt API-Architektur, Datenbankschemas und Kundendatenspezifikationen. Sechs Monate später arbeitet derselbe Auftragnehmer für einen Wettbewerber — und die Codebasis gleicht mit. Eine NDA für Auftragnehmer wäre hier der erste Schritt zum Schutz gewesen.

Eine NDA für Auftragnehmer hätte keinen perfekten Schutz garantiert. Aber sie hätte Ihnen eine rechtliche Handlungsgrundlage gegeben, Schadensersatz zu verlangen und weitere Offenlegungen zu stoppen. Ohne sie verlassen Sie sich darauf, dass der Auftragnehmer zufällig ehrlich ist.

Dieser Leitfaden deckt alles ab, was Software-Unternehmen über Auftragnehmer-NDAs wissen müssen: die Klauseln, die wirklich zählen, die Typen, die zu verschiedenen Auftragnehmer-Beziehungen passen, die Warnsignale, auf die Sie reagieren sollten, und wie Sie sie schnell unterschreiben lassen. Am Ende gibt es auch eine kostenlose Vorlage.

Wenn Sie einen breiteren Überblick darüber wünschen, wie sich Vertrag vs. Vereinbarung auf Ihre Auftragnehmer-Beziehungen auswirkt, lohnt sich das als erstes.

Eine NDA für Auftragnehmer (Non-Disclosure Agreement bzw. Geheimhaltungsvereinbarung) ist ein rechtsverbindlicher Vertrag, der einen unabhängigen Auftragnehmer — ob Freelance-Entwickler, Subunternehmer oder Offshore-Entwicklungsfirma — verpflichtet, Ihre vertraulichen Informationen geheim zu halten. Er definiert, was als vertraulich gilt, wie lange die Verpflichtung besteht und was passiert, wenn der Auftragnehmer sie verletzt.

Für Software-Unternehmen ist die vertrauliche Information nicht nur der Businessplan oder die Finanzdaten. Es ist der Quellcode, die Systemarchitektur, die Repository-Zugangsdaten, Kundendaten, API-Integrationen, proprietäre Algorithmen und noch nicht veröffentlichte Produkt-Roadmaps. Das ist ein breiterer und technisch spezifischerer Umfang als eine generische NDA abdeckt.

Eine NDA für Auftragnehmer unterscheidet sich in einem wichtigen Punkt von einer Geheimhaltungsklausel für Angestellte: Mitarbeiter unterschreiben in der Regel eine Geheimhaltungsklausel, die in ihren Arbeitsvertrag eingebettet ist, während Auftragnehmer eine eigenständige NDA vor Beginn der Arbeit unterschreiben. Diese eigenständige Struktur ist wichtig: Sie schafft eine separate, klar abgegrenzte Verpflichtung, die nicht mit Vergütungsstreitigkeiten oder Arbeitsrecht vermengt wird.

Die kurze Antwort zur Durchsetzbarkeit: Eine gut formulierte NDA für Auftragnehmer ist in allen wichtigen Rechtsordnungen auf der Grundlage von Vertragsrechtsprinzipien durchsetzbar. In den USA werden Geschäftsgeheimnisse auf Bundesebene durch den Defend Trade Secrets Act (DTSA) und auf Staatsebene durch den Uniform Trade Secrets Act (UTSA) geschützt — das gibt Ihnen zwei unabhängige rechtliche Wege, wenn ein Auftragnehmer Ihren Code missbraucht.

Die kurze Antwort: Auftragnehmer sind keine Angestellten, und diese Lücke spielt rechtlich eine Rolle.

Angestellte haben mehrere stillschweigende und gesetzliche Verpflichtungen in Bezug auf Geheimhaltung, die nicht automatisch auf unabhängige Auftragnehmer zutreffen. Ein Auftragnehmer kann standardmäßig das Wissen, das er bei Ihnen erworben hat, zum Vorteil eines Wettbewerbers nutzen — es sei denn, Sie haben das ausdrücklich vertraglich vereinbart. Eine NDA schließt diese Lücke.

Die spezifischen Risiken für Software-Unternehmen sind höher als in den meisten anderen Branchen:

• Quellcode-Offenlegung — Ein Auftragnehmer mit Repository-Zugang sieht Ihre gesamte technische Implementierung. Wenn er geht, ohne eine NDA unterschrieben zu haben, kann er dieses Wissen frei replizieren oder verkaufen.
• Kundendatenzugriff — Viele Auftragnehmer greifen auf Kundendatenbanken, CRM-Datensätze oder API-Endpunkte zu, die Kundeninformationen offenlegen. Ein Verstoß hier ist nicht nur ein Wettbewerbsnachteil; es ist eine GDPR- oder CCPA-Haftung.
• Geschäftsgeheimnisse in der Architektur — Ihr Systemdesign, die Art und Weise, wie Sie Ihre Daten-Pipelines strukturiert haben, Ihre proprietären Algorithmen — das sind nur dann Geschäftsgeheimnisse, wenn sie als geheim behandelt werden. Eine NDA ist Teil dieser Behandlung.
• Subunternehmer-Durchgriffsrisiko — Wenn Ihr Auftragnehmer eigene Subunternehmer beauftragt (üblich beim Offshore-Outsourcing) und diese Subunternehmer nicht an Geheimhaltungsverpflichtungen gebunden sind, fließen Ihre Geheimnisse durch eine Lücke in Ihrem rechtlichen Rahmen.

Für Teams, die mehrere Auftragnehmer gleichzeitig verwalten, ist der Verwaltungsaufwand für die Nachverfolgung des NDA-Status real. Das ist einer der Gründe, warum spezialisierte Dokumentenverwaltung für IT-Unternehmen im Maßstab nützlich wird — Sie müssen wissen, welche Auftragnehmer unterschrieben haben, wann und wo die ausgeführten Vereinbarungen aufbewahrt werden.

Fairer Hinweis: Eine NDA allein ist keine vollständige Sicherheitsstrategie. Sie brauchen weiterhin Zugriffskontrollen, Offboarding-Verfahren und Repository-Berechtigungsmanagement. Die NDA ist Ihr rechtlicher Rückgriff, wenn diese technischen Kontrollen versagen oder wenn ein Auftragnehmer täuscht, trotz der Zugriffsrechte, für die er autorisiert war.

Nicht jede Auftragnehmer-Beziehung braucht dieselbe NDA-Struktur. Die Wahl des falschen Typs verschwendet Verhandlungskapital und kann sogar signalisieren, dass Sie die Beziehung nicht verstehen.

Unilaterale NDA

Das ist die Standardform für die meisten Auftragnehmer-Engagements. Nur eine Partei — typischerweise das Software-Unternehmen — offenbart vertrauliche Informationen, und nur der Auftragnehmer ist an die Geheimhaltung gebunden. Sie stellen jemanden ein, um etwas zu bauen. Sie teilen Ihre Spezifikationen, Ihre Architektur, Ihren Kundenkontext. Der Auftragnehmer teilt nichts Proprietäres mit Ihnen.

Verwenden Sie eine unilaterale NDA, wenn: Sie einen Freelance-Entwickler einstellen, einen QA-Auftragnehmer beauftragen oder mit einem einzelnen Spezialisten für ein begrenztes Projekt arbeiten.

Mutual (bilateral) NDA

Beide Parteien teilen vertrauliche Informationen und beide sind gebunden. Das ist angemessen, wenn Sie ein Outsourcing-Unternehmen evaluieren, das Ihnen seine eigene proprietäre Methodik, Prozesse oder IP vorstellt — und ein berechtigtes Interesse hat, diese Informationen ebenfalls zu schützen.

In der Praxis fordern Offshore-Entwicklungsfirmen oft mutual NDAs. Das ist vernünftig. Stellen Sie nur sicher, dass die Definitionen der "vertraulichen Informationen" auf ihrer Seite nicht so weit gefasst sind, dass die normale Projektkommunikation eingeschränkt wird.

Multilaterale NDA

Deckt drei oder mehr Parteien in einer einzigen Vereinbarung ab — nützlich, wenn ein Projekt Ihr Unternehmen, einen Hauptauftragnehmer und einen spezialisierten Subunternehmer umfasst, die alle Informationen untereinander teilen müssen. Ein Dokument statt drei bilateralen. Komplexer zu formulieren, aber einfacher zu verwalten.

Diese beiden Dokumente werden oft verwechselt, und diese Verwirrung verursacht echte Probleme. Sie schützen unterschiedliche Dinge und funktionieren am besten zusammen.

Eine NDA für Auftragnehmer schützt vertrauliche Informationen, die Sie dem Auftragnehmer mitteilen. Sie regelt, was er nicht offenlegen darf. Sie sagt nichts darüber aus, wem die Arbeit gehört, die er erstellt.

Eine IP-Zuweisungsvereinbarung macht das Gegenteil: Sie regelt, wem das Arbeitsergebnis gehört, das während des Engagements erstellt wird. In den meisten Rechtsordnungen besitzt ein unabhängiger Auftragnehmer das Urheberrecht an dem Code, den er schreibt, es sei denn, es gibt eine schriftliche Vereinbarung, die dieses Eigentum auf Sie überträgt.

Hier ist, warum das wichtig ist: Wenn Sie eine NDA, aber keine IP-Zuweisung haben, darf der Auftragnehmer Ihre Geheimnisse nicht offenlegen — aber er könnte Eigentümer des Codes sein, den er für Sie geschrieben hat. Das ist eine erhebliche Lücke.

Für ein Software-Unternehmen brauchen Sie typischerweise beides:

1. 1.
   Die NDA schützt vertrauliche Informationen, die Sie während des Engagements teilen
2. 2.
   Die IP-Zuweisung überträgt das Eigentum am Arbeitsergebnis auf Sie

Manche Verträge bündeln beides in einem einzigen Dokument (üblich in Beratungsvereinbarungen), aber die Trennung macht den Umfang jeder Verpflichtung klarer und die einzelne Durchsetzung einfacher.

Im Chaindoc-Blog gibt es einen dedizierten Leitfaden zur Erstellung einer sicheren NDA, der die allgemeine NDA-Struktur ausführlicher behandelt — lesenswert ergänzend zu diesem auftragnehmerspezifischen Leitfaden.

Eine Wettbewerbsverbotsklausel schränkt den Auftragnehmer darin ein, nach Beendigung des Engagements für Wettbewerber zu arbeiten oder ein konkurrierendes Unternehmen zu gründen, und zwar für einen definierten Zeitraum. Eine NDA schränkt ein, was er offenlegen darf, hindert ihn aber nicht daran, für Ihren Wettbewerber zu arbeiten — nur daran, Ihre Geheimnisse mitzubringen.

In der Praxis: Wenn ein Senior-Entwickler Ihre gesamte technische Architektur kennt, verhindert auch eine perfekt durchgesetzte NDA nicht, dass er sie aus dem Gedächtnis für einen Wettbewerber neu aufbaut. Eine Wettbewerbsverbotsklausel geht dieses Risiko direkt an.

Allerdings sind Wettbewerbsverbote für unabhängige Auftragnehmer nur in manchen Rechtsordnungen durchsetzbar, und Gerichte prüfen sie auf Angemessenheit — insbesondere Umfang (welche Branchen oder Rollen sind eingeschränkt), Geografie (welche Region) und Dauer (wie lange). Kalifornien zum Beispiel lehnt Wettbewerbsverbote für Auftragnehmer weitgehend ab. Viele EU-Länder haben ähnliche Einschränkungen.

Für die meisten Software-Unternehmen, die mit Auftragnehmern arbeiten:

• Verwenden Sie immer eine NDA — fast überall durchsetzbar, essenzieller Schutz
• Verwenden Sie ein Wettbewerbsverbot selektiv — für Senior-Auftragnehmer mit tiefem Zugang zu Kern-IP, in Rechtsordnungen, in denen die Durchsetzung realistisch ist, mit engem und angemessenem Umfang
• Betten Sie Wettbewerbsverbote nicht in NDAs ein — halten Sie sie im Haupt-Dienstleistungsvertrag oder in einer separaten Klausel, damit Streitigkeiten über das eine das andere nicht entkräften

Generische NDA-Vorlagen vermissen oft den softwarespezifischen Umfang, der diese Vereinbarungen tatsächlich schützend macht. Das sind die 10 Klauseln, die jede NDA für Auftragnehmer in einem Software-Unternehmen enthalten sollte.

1. Definition der vertraulichen Informationen (softwarespezifisch)

Listen Sie explizite Kategorien auf, verlassen Sie sich nicht auf generische Auffangklauseln. Für Software-Unternehmen bedeutet das: Quellcode und kompilierte Binärdateien, Systemarchitektur und technische Spezifikationen, Datenbankschemas, API-Keys und Authentifizierungsdaten, Kundendaten und Kundenlisten, Produkt-Roadmaps und noch nicht veröffentlichte Funktionen sowie interne Tools oder proprietäre Workflows.

2. Repository-Zugriffsrichtlinie

Geben Sie an, auf welche Code-Repositories der Auftragnehmer zugreifen darf, welche Berechtigungsstufe gewährt wird (Lesen, Schreiben, Admin) und die Verpflichtung, nach Beendigung des Engagements keine Kopien zu behalten. Diese Klausel ist spezifisch für Software und fehlt in den meisten generischen Vorlagen.

3. Umgang mit Kundendaten

Wenn der Auftragnehmer Zugriff auf Kundendaten hat — selbst in einer Test- oder Staging-Umgebung — geben Sie die erlaubten Verwendungszwecke an, das Verbot, Kopien zu behalten, und die Meldepflicht, wenn er einen Datenverstoß vermutet, der diese Informationen betrifft.

4. Querverweis zur IP-Zuweisung

Vermerken Sie, dass diese NDA neben einer separaten IP-Zuweisungsvereinbarung gilt und dass die Geheimhaltungsverpflichtungen des Auftragnehmers unabhängig von der IP-Zuweisung sind — ein Verstoß gegen eines der Dokumente beeinträchtigt nicht die Durchsetzbarkeit des anderen.

5. Rückgabe oder Vernichtung von Materialien

Nach Beendigung des Engagements muss der Auftragnehmer alle Kopien vertraulicher Informationen zurückgeben oder nachweislich vernichten — einschließlich lokal heruntergeladenen Codes, in persönlichen Cloud-Speichern abgelegter Dokumentation und API-Zugangsdaten. Fordern Sie eine schriftliche Bestätigung.

6. Subunternehmer-Durchgriff

Wenn der Auftragnehmer Subunternehmer einsetzt, müssen diese Subunternehmer vor Erhalt vertraulicher Informationen an gleichwertige Geheimhaltungsverpflichtungen gebunden sein. Der Auftragnehmer bleibt für Verstöße seiner Subunternehmer haftbar.

7. Laufzeit und Überdauer

Geheimhaltungsverpflichtungen für Geschäftsgeheimnisse (Quellcode, Kernalgorithmen) sollten nach Beendigung des Engagements unbefristet überdauern. Für andere vertrauliche Informationen sind drei bis fünf Jahre Standard. Geben Sie ausdrücklich an, dass die NDA über die Beendigung des Haupt-Dienstleistungsvertrags hinaus besteht.

8. Ausnahmen von der Geheimhaltung

Standard-Ausnahmen: Informationen, die bereits öffentlich bekannt sind, Informationen, die unabhängig ohne Bezug zu Ihren Offenlegungen entwickelt wurden, Informationen, die von einem Dritten ohne Geheimhaltungsbeschränkungen empfangen wurden. Seien Sie spezifisch — übermäßig breite Ausnahmen schaffen Lücken.

9. Anwendbares Recht und Gerichtsstand

Nennen Sie den Gerichtsstand und das anwendbare Recht ausdrücklich. Für grenzüberschreitende Auftragnehmer-Engagements ziehen Sie die Festlegung von Schiedsverfahren als Streitbeilegungsmechanismus in Betracht — sie sind typischerweise schneller und über Grenzen hinweg vorhersehbarer als Gerichtsverfahren.

10. Rechtsbehelfe und einstweilige Verfügung

Geben Sie ausdrücklich an, dass ein Verstoß irreparablen Schaden verursacht, der eine einstweilige Verfügung ohne Nachweis spezifischer Geldschäden rechtfertigt. Das ist standardmäßige NDA-Sprache, aber kritisch — ohne sie müssten Sie Verluste quantifizieren, bevor ein Gericht handelt, was bei IP-Verstößen schwierig ist.

Dieselbe NDA-Vorlage passt nicht gleich gut zu jeder Auftragnehmer-Beziehung. So unterscheidet sich das Risikoprofil — und damit die NDA-Anforderungen — je nach Auftragnehmer-Typ.

Freelance-Entwickler

Ein Freelancer, der an einem einzelnen Feature oder Modul arbeitet, hat ein begrenztes Risiko: Er sieht nur das, was für seine Aufgabe relevant ist. Ihre NDA kann hier relativ Standard sein — unilateral, mit softwarespezifischer Definition vertraulicher Informationen und einer Repository-Zugriffsklausel. Der Unterzeichnungsprozess sollte einfach und schnell sein: senden, unterschreiben, loslegen. Reibungsverluste hier kosten Sie gute Auftragnehmer.

Subunternehmer (über eine Haupt-Agentur)

Das ist ein riskanteres Setup, als es aussieht. Wenn Sie eine Agentur beauftragen und diese die Arbeit an einzelne Entwickler outsourcen, wissen Sie oft nicht, wer diese Entwickler sind oder auf was sie zugreifen können. Ihre NDA mit der Agentur sollte eine Subunternehmer-Durchgriffsklausel (Klausel 6 oben) enthalten und verlangen, dass Sie über alle Subunternehmer informiert werden, die auf Ihre Systeme zugreifen. Erwägen Sie direkte NDAs mit wichtigen Subunternehmern, wenn sie Repository-Zugriff haben.

Offshore-Entwicklungsfirma

Hier brauchen NDAs die größte Sorgfalt. Eine Offshore-Firma hat möglicherweise eigene Standardvereinbarungen, die umfassend aussehen, aber nach ausländischem Recht mit begrenzter Durchsetzbarkeit in Ihrer Rechtsordnung regelt. Wichtige Ergänzungen für Offshore-Engagements:

• Anwendbares Recht und Gerichtsstand, die Ihre Rechtsordnung für Streitigkeiten festlegen
• Explizite GDPR/CCPA-Compliance-Bestimmungen, wenn Kundendaten involviert sind
• Eine mutual NDA, wenn die Firma proprietäre Methodik teilt — aber stellen Sie sicher, dass der Umfang Ihrer vertraulichen Informationen mindestens so breit ist wie der ihre
• Internationales Schiedsverfahren (nach ICC- oder AAA-Regeln) zur Streitbeilegung

Für Teams, die Auftragnehmer über diese verschiedenen Typen hinweg verwalten, kann Vertragsmanagement-Software für IT-Unternehmen nachverfolgen, welcher Auftragnehmer welche Vereinbarung hat, wann sie unterschrieben wurde und wann Erneuerung oder Überprüfung fällig ist — anstatt sich auf eine gemeinsame Tabelle zu verlassen, die unweigerlich veraltet ist.

Der häufigste Fehler, den Software-Unternehmen machen, ist nicht eine schlecht formulierte NDA — es ist, sie zu spät zu unterschreiben.

Die NDA muss vor der Weitergabe vertraulicher Informationen vorliegen. Das klingt offensichtlich, aber in der Praxis wird es während ersten Gesprächen, Discovery-Calls und technischen Scoping-Sessions übersprungen, in denen Sie Systemkontext teilen, damit der Auftragnehmer das Projekt versteht.

Hier ist die richtige Unterzeichnungsreihenfolge für ein typisches Auftragnehmer-Engagement:

1. 1.
   NDA — Zuerst unterschreiben, vor jedem Discovery-Call, in dem Sie über technische Architektur, Kundendaten oder Systemdetails sprechen
2. 2.
   IP-Zuweisungsvereinbarung — Vor Beginn der Arbeit unterschreiben (idealerweise zusammen mit oder direkt nach der NDA)
3. 3.
   Statement of Work (SOW) — Definiert den Umfang, die Deliverables, den Zeitplan und die Zahlung; vor Beginn der Arbeit unterschreiben. Siehe unseren Leitfaden zu SOW-Verträgen für Details.
4. 4.
   Master Services Agreement (MSA) oder Software-Entwicklungsvertrag — Der übergeordnete Rahmen für die laufende Beziehung

Eine nützliche Regel: Wenn Sie einem potenziellen Auftragnehmer etwas sagen möchten, das Sie nicht öffentlich machen würden, sollte die NDA bereits unterschrieben sein.

Für frühe Gespräche, bevor Sie einen Auftragnehmer ausgewählt haben — explorative Calls, RFP-Prozesse — können Sie entweder nur allgemeinen, nicht-vertraulichen Kontext teilen oder eine leichtgewichtige mutual NDA verwenden, die beide Parteien schnell unterschreiben. Die zweite Option ist sauberer.

Für Teams, die häufige Auftragnehmer-Onboarding-Zyklen durchlaufen, eliminiert die Automatisierung des NDA- und Auftragnehmer-Onboarding-Workflows den Timing-Fehler — das System löst den NDA-Versand aus, bevor der erste Zugriff gewährt wird.

Meistens werden Sie NDAs an Auftragnehmer senden. Aber Auftragnehmer — insbesondere etablierte Agenturen — präsentieren manchmal ihre eigenen. Das sollte Sie stutzig machen.

Übermäßig breite Definition der "vertraulichen Informationen" auf ihrer Seite

Wenn die NDA eines Auftragnehmers seine vertraulichen Informationen als "alle während des Engagements geteilten Informationen" ohne sinnvolle Grenzen definiert, könnten Sie am Ende eingeschränkt sein, das Gelernte zu teilen — Ihre eigene Architektur, Ihren eigenen Kundenkontext — mit zukünftigen Auftragnehmern, die ähnliche Arbeiten erledigen. Eine mutual NDA sollte auf beiden Seiten klar abgegrenzte und abgestimmte Definitionen haben.

Unbefristete Laufzeit für Nicht-Geschäftsgeheimnisse

Eine unbefristete Geheimhaltungslaufzeit für allgemeine Geschäftsinformationen (nicht spezifische Geschäftsgeheimnisse) ist oft nicht durchsetzbar und ein Warnsignal, dass die Vereinbarung nicht sorgfältig formuliert wurde. In manchen Rechtsordnungen heben Gerichte unbefristete Geheimhaltungsverpflichtungen für gewöhnliche Geschäftsinformationen als unangemessene Handelsbeschränkung auf. Reagieren Sie und definieren Sie eine spezifische Laufzeit.

Unilaterale Schiedsklausel

Wenn die NDA Schiedsverfahren nur in der Rechtsordnung des Auftragnehmers mit dessen gewählten Schiedsrichtern vorsieht, ist das ein asymmetrisches Durchsetzungsinstrument. Sie müssten reisen, um Ihre eigenen Geheimhaltungsrechte durchzusetzen. Legen Sie entweder einen neutralen Gerichtsstand fest oder spezifizieren Sie Schiedsregeln einer anerkannten Institution (ICC, AAA) ohne gerichtsstands-bezogene Verzerrung.

Fehlender IP-Carve-Out

Manche von Auftragnehmern vorgelegte NDAs enthalten Formulierungen, die so gelesen werden könnten, dass sie dem Auftragnehmer gewisse Rechte an dem einräumen, was er über Ihre IP lernt — insbesondere wenn "vertrauliche Informationen" so breit definiert sind, dass sie jeden Erkenntnisgewinn umfassen. Wenn die NDA nicht ausdrücklich Ihre bereits bestehende IP von jeglicher Beschränkung Ihrer Nutzung ausschließt, lassen Sie das klären.

Keine Rückgabe- oder Vernichtungsklausel

Eine NDA für Auftragnehmer ohne ausdrückliche Rückgabe- oder Vernichtungspflicht erlaubt dem Auftragnehmer, Kopien Ihres Codes und Ihrer Dokumentation nach Beendigung des Engagements zu behalten. Das ist nicht akzeptabel. Machen Sie es zur Pflicht.

Die Einsätze sind nicht hypothetisch. Diese Fälle veranschaulichen, was die Verletzung von Geschäftsgeheimnissen tatsächlich kostet.

Cadence Design Systems v. Avanti Corporation (265 Mio. USD)

Avanti, ein konkurrierendes EDA-Software-Unternehmen, wurde für schuldig befunden, Cadences proprietären Quellcode verwendet zu haben — angeblich von ehemaligen Cadence-Mitarbeitern mitgebracht, die zu Avanti gewechselt waren. Der Fall resultierte in einem Urteil von über 265 Millionen US-Dollar und strafrechtlichen Verurteilungen mehrerer Personen. Der zugrunde liegende Mechanismus war der Abgang von Mitarbeitern, aber dasselbe Risiko gilt für Auftragnehmer: Ein Auftragnehmer, der für mehrere Unternehmen arbeitet, ist ein Vektor für Code-Transfer, ob absichtlich oder nicht.

Die Lehre: Selbst gut ausgestattete Software-Unternehmen mit etabliertem IP-Schutz stehen vor diesem Risiko. Geheimhaltungsvereinbarungen mit jedem, der proprietären Code einsehen darf, sind Teil der grundlegenden IP-Hygiene — kein optionales Extra.

Waymo v. Uber (245 Mio. USD)

Waymo, die selbstfahrende Tochtergesellschaft von Alphabet, verklagte Uber, nachdem ein ehemaliger Google-Ingenieur angeblich vertrauliche technische Dateien zu einem Startup mitgenommen hatte, das später von Uber übernommen wurde. Die Einigung erreichte einen Wert von etwa 245 Millionen US-Dollar in Eigenkapital. Bemerkenswerterweise hatte der Ingenieur NDAs und IP-Vereinbarungen mit Google unterschrieben — was Waymo die rechtliche Handlungsgrundlage gab, den Fall aggressiv zu verfolgen.

Der Gegenpunkt ist gleichermaßen wichtig: Die NDAs und IP-Zuweisungen haben den Verstoß nicht verhindert. Aber sie gaben Waymo die rechtliche Grundlage zu handeln. Ohne sie hätte Waymo keinen durchsetzbaren Mechanismus gehabt, eine Einigung in dieser Höhe zu erzielen. Das ist der tatsächliche Wert einer gut formulierten NDA für Auftragnehmer: nicht Prävention, sondern Durchsetzbarkeit, wenn die Prävention versagt.

Beide Fälle betrafen Geschäftsgeheimnisse, die weitaus anspruchsvoller sind als die meisten Auftragnehmer-Engagements. Aber das Muster ist in der Software universell: Vertraulicher Code wandert mit den Menschen, die ihn schreiben. Ihre NDA für Auftragnehmer ist der rechtliche Mechanismus, der diese Bewegung angreifbar macht.

Es ist wichtig, eine NDA schnell unterschrieben zu bekommen. Ein umständlicher Unterzeichnungsprozess bedeutet, dass Auftragnehmer sie entweder überspringen oder zu spät unterschreiben — beides ist ein Fehler. So geht es richtig und schnell.

Schritt 1: Das NDA-Dokument vorbereiten

Verwenden Sie die Vorlage unten oder Ihre eigene angepasste Version. Stellen Sie sicher, dass alle softwarespezifischen Klauseln vor dem Versand vorhanden sind. Eine nachträgliche Ergänzung, nachdem der Auftragnehmer das Dokument geprüft hat, verlängert den Zeitplan unnötigerweise.

Schritt 2: Zur E-Signatur senden

Laden Sie die NDA auf eine E-Signatur-Plattform hoch, die einen manipulationssicheren Audit-Trail bietet. Das ist keine bürokratische Vorliebe — es ist Beweismittel. Wenn Sie die NDA jemals durchsetzen müssen, brauchen Sie den Nachweis, dass eine bestimmte Person ein bestimmtes Dokument zu einem bestimmten Zeitpunkt unterschrieben hat und dass das Dokument danach nicht verändert wurde.

Chaindoc nutzt Blockchain-Verifizierung, um jeden Signaturvorgang in einem unveränderlichen Ledger zu protokollieren. Anders als ein einfacher PDF-Audit-Log, der auf den Servern eines Unternehmens liegt, kann ein Blockchain-Eintrag nachträglich von keiner Partei verändert werden. Das zählt in Streitfällen, in denen der Anwalt des Auftragnehmers in Frage stellt, ob das Dokument, das er sieht, das ist, das sein Mandant unterschrieben hat.

Schritt 3: Identität vor der Signatur verifizieren

Eine Unterschrift von "user@gmail.com" beweist nicht, dass die Person, mit der Sie den Vertrag geschlossen haben, tatsächlich unterschrieben hat. Verwenden Sie mindestens eine E-Mail-OTP-Verifizierung; für hochwertige Engagements bieten SMS- oder staatliche ID-Verifizierung eine stärkere Nichtabstreitbarkeit.

Schritt 4: Mit Zugriffskontrollen speichern

Die unterschriebene NDA sollte in einem Dokumentenmanagement-System mit rollenbasierter Zugriffskontrolle aufbewahrt werden — zugänglich für Ihr Rechtsteam und die Geschäftsleitung, nicht abgelegt in einem gemeinsamen E-Mail-Ordner. Taggen Sie sie mit dem Namen des Auftragnehmers, den Engagement-Daten und der Projektreferenz, damit sie unter Druck auffindbar ist.

Schritt 5: Ablauf und Erneuerung nachverfolgen

Wenn Ihre NDA eine definierte Laufzeit hat, verfolgen Sie das Ablaufdatum. Eine NDA, die vor sechs Monaten abgelaufen ist, schützt Sie heute nicht.

Für Software-Unternehmen, die Dokumenten-Workflows für IT-Teams verwalten, automatisiert der Prozess — NDA-Versand auslösen, wenn ein Auftragnehmer hinzugefügt wird, automatische Erinnerung vor Gewährung des Zugriffs, Ablaufwarnungen — den manuellen Overhead, der Timing-Fehler verursacht. Sehen Sie sich die Chaindoc-Preise an für Team-Pläne, die Auftragnehmer-Dokumenten-Workflows enthalten.

Für einen tieferen Blick auf die rechtliche Compliance-Seite elektronischer Signaturen bestätigen sowohl der ESIGN Act (USA) als auch eIDAS (EU), dass elektronisch unterschriebene NDAs dasselbe rechtliche Gewicht wie Papier haben.

Die Vorlage unten ist ein Ausgangspunkt — eine unilaterale Auftragnehmer-NDA mit eingebauten softwarespezifischen Klauseln. Sie deckt alle 10 in diesem Leitfaden aufgeführten Klauseln ab und enthält US-Rechts-Standardwerte (geregelt durch das Recht des Staates, den Sie angeben, DTSA-Geschäftsgeheimnisschutz referenziert).

Laden Sie die Chaindoc-Auftragnehmer-NDA-Vorlage herunter:

• PDF herunterladen
• DOCX herunterladen

Was die Vorlage enthält:

• Softwarespezifische Definition vertraulicher Informationen (Quellcode, Architektur, Zugangsdaten, Kundendaten, Roadmaps)
• Repository-Zugriffsrichtlinien-Klausel
• Subunternehmer-Durchgriffsverpflichtung
• Rückgabe- oder Vernichtungsklausel mit Bescheinigungspflicht
• IP-Zuweisungs-Querverweis-Klausel
• Einstweilige-Verfügungs-Klausel
• Platzhalter für anwendbares Recht (tragen Sie Ihren Staat oder Ihre Rechtsordnung ein)
• 3-Jahres-Laufzeit für allgemeine vertrauliche Informationen / unbefristet für Geschäftsgeheimnisse

Wichtiger Hinweis: Diese Vorlage wird zu Informationszwecken bereitgestellt und stellt keine Rechtsberatung dar. Die Durchsetzbarkeit variiert je nach Rechtsordnung und spezifischen Umständen. Für hochwertige Engagements, neue Auftragnehmer-Beziehungen oder grenzüberschreitende Situationen lassen Sie die Vereinbarung vor der Verwendung von einem qualifizierten Rechtsanwalt prüfen.

Für einen vollständigen Auftragnehmer-Onboarding-Dokumentenstapel — NDA, SOW und Zahlungsbedingungen — ermöglichen die Vertragsmanagement-Tools für IT-Unternehmen von Chaindoc, Vorlagen einmal zu erstellen und konsistent an jeden neuen Auftragnehmer zu senden.