Gain-of-Function im NDA: Insiderliste und DPA

Juristen lieben den Geruch von Verschwiegenheitserklärungen (NDAs) am Morgen. Denn in aller Regel ist das NDA der Auftakt für eine Verhandlung, eine Transaktion oder ein komplexes Projekt. Hier wartet auf die Rechtsberater oft spannende – und ertragreiche – Arbeit.

Was immer im NDA steht

Die Verschwiegenheitserklärung selbst ist dabei oft ein überschaubarer Vertrag mit einer begrenzten Anzahl an Regelungen und Freiheitsgraden. Zu prüfen ist typischerweise:

  • Ist das NDA einseitig angelegt oder begründet es wechselseitige Verschwiegenheitsverpflichtungen?
  • Welche Arten von Informationen werden erfasst?
  • Müssen geheimhaltungsbedürftige Informationen gekennzeichnet werden, fällt alles darunter, werden auch mündliche Informationen erfasst?
  • Welche Anstrengungen müssen zum Schutz von Informationen unternommen werden?
  • Gibt es Vertragsstrafen?
  • Wie lange läuft das NDA?

Das ist vergleichsweise schmal (“thin Agreement”). Und so handelt es sich bei NDAs auch meist um Standardverträge, die schnell geschrieben oder geprüft sind.

NDA als “fat” Agreement

Mehr und mehr begegnet mir in der freien Wildbahn aber die Idee, aus einem NDA ein komplexeres Gebilde zu machen, das bereits viele Aspekte der Zusammenarbeit der Parteien abbildet. Aus dem schmalen Vertrag wird so ein “fat Agreement”, das komplexer, mächtiger, aber auch fehleranfälliger wird. Für uns Juristen ist das gut, weil die Mandanten bei umfangreichen und ungewohnten NDAs dazu neigen, diese erst einmal prüfen zu lassen.

Aber nutzt so ein “fat” NDA den Parteien? Meine Ansicht ist: tendenziell nein, aber es kommt darauf an, was genau die Verschwiegenheitserklärung “fett” macht. Schauen wir uns doch mal zwei Beispiele an, die mir in nur einer Woche unterkamen.

Insiderliste

In einer Verschwiegenheitserklärung mit einer AG war im Vertragstext des NDA bestimmt, dass meine Mandantin eine Insiderliste zu führen habe, auf die jeder zu setzen sei, der mit der geplanten Transaktion zu tun hat.

(Client, AT) will (1) create and maintain an insider list (the “Insider List”) containing the names of its personnel and the personnel of its affiliates, vendors, contractors and advisers who are involved in the Transaction, (2) update such Insider List as new personnel become involved in the Transaction, (3) provide such Insider List (with such edits or redactions as may be required to protect the rights to privacy of persons on the list) to any party to which such Insider List must be provided, including (…), as well as to (…), at any time upon  request, and (4) retain such Insider List for a period of five (5) years following the completion or abandonment of the Transaction. 

Außerdem wurde die Mandantin aufgeklärt, dass sie wiederum auf die Insiderliste ihrer Vertragspartnerin gesetzt wird.

(Client, AT) acknowledges and agrees that (1) it will be placed (…) insider list, (2) it is familiar with the Insider Trading Law and the rules and regulations promulgated thereunder which are applicable to it, including the penalties for their violation, and (3) it will comply with the Insider Trading Law and the rules and regulations promulgated thereunder which are applicable to it.

Insiderlisten kennen wir in Deutschland aus Art. 18 Marktmissbrauchsverordnung (MVVO). Da geht es allerdings nur um “Emittenten oder alle in ihrem Auftrag oder für ihre Rechnung handelnden Personen”. Emittenten sind dabei juristische Personen die, nunja, Finanzinstrumente emittieren. Das hatte meine Mandantin nicht vor. Aber wir bewegten uns hier nicht in einem EU-harmonisierten Recht, wussten also nicht, ob die Vertragspartnerin diese Regelung zwingend braucht. Der Aufwand des Führens einer Insiderliste ist zudem gering, so dass es hier leichtfällt, der Vertragspartnerin diesen Gefallen zu tun.

Soweit sich die Mandantin verpflichten sollte, geltendes Recht einzuhalten, finde ich die Regelung zwar überflüssig, weil geltendes Recht ja gerade dazu da ist, eingehalten zu werden, auch ohne Hinweis. Aber natürlich ist das kein Grund, ein NDA mit einem solchen Hinweis nicht zu unterzeichnen.

Wir haben dieses NDA mithin akzeptiert.

Auftragsverarbeitungsvertrag / DPA im NDA

In einem zweiten NDA sollte sich meine Mandantin einer in der Verschwiegenheitserklärung enthaltenen Regelung zur Auftragsverarbeitung (Data Processing Agreement, DPA) unterwerfen. Allerdings nicht zur Datenverarbeitung unter dem NDA selbst, sondern unter dem erst zu verhandelnden Hauptvertrag.

Nun ist es absolut üblich und sogar gesetzlich vorgeschrieben, in Verträgen, in denen die entsprechenden Voraussetzungen gegeben sind, ein solches DPA abzuschließen. Wann das der Fall ist, regelt für die EU die allseits beliebte DSGVO in Art. 28. Viele andere Länder haben vergleichbare Vorschriften.

Allerdings ist das DPA seiner Natur nach ein Compliance-Wrapper, ein Umschlag um einen Hauptvertrag. Und der erst regelt was genau die Vertragspartner gemeinsam tun, welche Daten wie genau und für welchen Zeitraum verarbeitet werden. Ohne Hauptvertrag ist es ganz unmöglich, ein DPA schon zu vereinbaren.

Dazu kam, dass im konkreten Fall das NDA eine Vertragsstrafe bei Verstößen enthielt, die auch Verstöße gegen das DPA umfasst hätte. Wenn man das DPA aber “blind” abschließt, weiß man noch gar nicht, wozu genau man sich eigentlich verpflichtet. Das Risiko, hier in die Vertragsstrafe zu laufen, lässt sich seriös nicht abschätzen.

Zuletzt ist es einfach guter Usus, ein DPA gesondert abzuschließen. Gegebenenfalls muss man das bei Aufsichtsbehörden, Zertifizierungsstellen oder auch Vertragspartnern, welche die Compliance-Organisation untersuchen, auch vorzeigen. Da möchte man gern ein separates Dokument haben – das ja durchaus eine Anlage zum Hauptvertrag sein kann.

Hier haben wir mithin von einer Unterzeichnung abgesehen.

Mein Fazit

Nichts spricht dagegen, in einem NDA gleich weitere Punkte der Zusammenarbeit zu regeln. Das kann gerade Compliance betreffen, die man möglichst früh und gut etablieren möchte.

Nur muss hier die Kirche im Dorf gelassen werden. Nicht jede Regelung macht in einer frühen, explorativen Phase der Zusammenarbeit schon Sinn: zunächst verhandelt man das Projekt, führt es aber noch nicht aus, weiß noch gar nicht, was es genau sein wird.

Nicht selten kommt es auch vor, dass Vertragsverhandlungen schon frühzeitig abgebrochen werden, weil man ganz offensichtlich nicht zueinanderpasst. Und das ist auch in Ordnung, deshalb redet man ja miteinander. In einer solchen Situation möchte aber niemand schon tausende von Euro an Vertragsabschlusskosten produziert haben, die dann verloren sind.

Ich bin daher Verfechter eines schmalen Vertrages. Lieber ein einfaches, niedrigschwelliges NDA aus einem Template abschließen, das jeder kennt und mit dem sich jeder wohlfühlt. Die Anwälte dürfen sich später austoben, wenn die Parteien sich kennengelernt haben und das Term-Sheet steht.

Was ist Ihre Erfahrung mit solchen Fällen? Welche sinnvollen und welche verrückten Regelungen haben Sie in NDAs gesehen? Sind Sie eher Verfechter*in eines Lean- oder Fat-Ansatzes?

Kommentar verfassen