NDA

Die Regelungen für Vertraulichkeit im Facility‑Management‑Kontext ergeben sich aus verschiedenen Rechtsnormen und Standards. Dieses Kapitel stellt die wichtigsten Bestimmungen zusammen und erklärt ihre Bedeutung für die ND‑Vereinbarung.

Im Bürgerlichen Gesetzbuch (BGB) ist die Pflicht zur Rücksichtnahme auf Rechte, Rechtsgüter und Interessen des Vertragspartners verankert. § 241 Abs. 2 BGB verpflichtet jede Vertragspartei zu sogenannter „Nebenpflicht“, darunter die Wahrung vertraulicher Informationen. Ein Verstoß gegen diese Pflicht kann nach § 280 BGB zu Schadensersatzansprüchen führen. Darüber hinaus schützt § 823 BGB in Verbindung mit dem Geschäftsgeheimnisgesetz (GeschGehG) Betriebs‑ und Geschäftsgeheimnisse. Vertragsparteien dürfen geschützte Informationen weder unbefugt offenlegen noch zu eigenem Vorteil nutzen.

Die Verarbeitung personenbezogener Daten im Rahmen der Ausschreibung unterliegt der Datenschutz‑Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Nach Art. 5 DSGVO müssen personenbezogene Daten rechtmäßig, transparent und zweckgebunden verarbeitet werden. Die DSGVO fordert in Art. 32 angemessene technische und organisatorische Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten. Das BDSG setzt die Öffnungsklauseln der DSGVO um und konkretisiert die Anforderungen für Deutschland: Es fordert z. B. besondere Schutzmaßnahmen für Beschäftigtendaten und regelt die Mitbestimmung der Datenschutzbeauftragten. Die Einhaltung dieser Gesetze ist Bestandteil jeder ND‑Vereinbarung.

Das Vergaberecht verpflichtet Auftraggeber und Bieter zur Wahrung der Vertraulichkeit im Ausschreibungsprozess. § 97 GWB (Gesetz gegen Wettbewerbsbeschränkungen) nennt die Grundsätze des Wettbewerbs, der Gleichbehandlung und der Transparenz. Der Auftraggeber darf Informationen über teilnehmende Bieter und deren Angebote nicht offenlegen; dies ergibt sich aus dem geheimen Charakter des Vergabeverfahrens. Öffentliche Aufträge müssen so vergeben werden, dass die Vertraulichkeit der Angebote gewährleistet bleibt. Bieter müssen daher zusichern, dass alle erhaltenen Informationen vertraulich behandelt und nicht an Dritte weitergegeben werden.

Die Vergabeverordnung (VgV) und die Unterschwellenvergabeordnung (UVgO) enthalten weitere detaillierte Regelungen zur Geheimhaltung. Beispielsweise müssen Angebote in verschlossenen Umschlägen oder als verschlüsselte elektronische Dokumente eingereicht und vom Auftraggeber vertraulich behandelt werden. Verstöße von Amtsträgern gegen die Pflicht zur Geheimhaltung können strafrechtlich geahndet werden. Diese Bestimmungen gelten auch für Bieter, die Zugang zu vertraulichen Unterlagen erhalten.

Informationssicherheit im technischen Facility Management wird durch nationale und internationale Normen definiert. Die ISO/IEC 27001 beschreibt die Anforderungen an ein Informationssicherheits‑Managementsystem (ISMS) und ist international anerkannt. Ein ISMS legt Prozesse zur Ermittlung, Bewertung und Behandlung von Risiken fest und stellt sicher, dass angemessene Sicherheitskontrollen vorhanden sind. Für Unternehmen, die an öffentlichen Ausschreibungen teilnehmen, ist eine Zertifizierung nach ISO 27001 häufig Voraussetzung oder zumindest ein wichtiges Qualitätskriterium.

Die DIN EN 15221‑Reihe (bzw. EN 15221) definiert die Begriffe, Prozesse und Strukturen des Facility Managements. Teil 3 der Norm behandelt beispielsweise die Datenerfassung und ‑strukturierung in der Bewirtschaftung, während Teil 2 Hinweise zur Erstellung von Facility‑Management‑Leistungsverzeichnissen gibt. Diese Standards bilden die Grundlage für einheitliche Datenformate und erleichtern die Zusammenarbeit zwischen Auftraggeber und Dienstleister.

Weitere relevante Normen sind DIN ISO 41001 (Managementsysteme für Facility Management), ISO IEC 62443 (IT‑Sicherheit industrieller Automatisierungs‑ und Steuerungssysteme) und die Vorgaben der EU‑NIS2‑Richtlinie. In Kombination mit branchenspezifischen Richtlinien (z. B. GEFMA) bilden sie den Rahmen, innerhalb dessen ND‑Vereinbarungen ausgestaltet werden müssen.

Dieses Kapitel definiert, welche Informationen im Rahmen der Ausschreibung als vertraulich gelten und daher unter die ND‑Vereinbarung fallen.

Unter Anlagendaten versteht man sämtliche Dokumentationen über technische Ausrüstungen und Infrastruktur des Gebäudes. Dazu gehören Bestandsverzeichnisse aller technischen Geräte (Heizungs‑, Lüftungs‑, Kälte‑, Elektro‑ und Sicherheitsanlagen), Zustandsberichte, Wartungsprotokolle, Garantiebestimmungen sowie Angaben zur Kritikalität der Anlagen. Diese Daten ermöglichen eine Bewertung des Leistungsumfangs und der Risiken. Sie dürfen keinesfalls unbefugt verwendet oder weitergegeben werden, da sie Aufschluss über die Leistungsfähigkeit und mögliche Schwachstellen der technischen Infrastruktur geben.

Gebäudeautomationssysteme (Building Management Systems – BMS) steuern zentrale technische Funktionen wie Klima‑, Beleuchtungs‑, Sicherheits‑ und Energiemanagement. Vertrauliche Informationen umfassen Softwarekonfigurationen, Systemeinstellungen, Datenpunkte, Netzwerk‑ und Busstrukturen, Steuerungsprotokolle (z. B. BACnet, Modbus, KNX) und Schnittstellen zu anderen Systemen. Auch detaillierte Beschreibungen der Systemarchitektur, der verwendeten Algorithmen und der Zugangsdaten gelten als geheim. Die unbefugte Offenlegung oder Veränderung dieser Daten kann die Sicherheit des Gebäudes massiv gefährden.

Wartungs‑ und Instandhaltungsprotokolle beinhalten Berichte über Inspektionen, Prüfungen, Reparaturen, Störungs‑ und Schadensmeldungen. Sie dokumentieren auch mögliche Mängel und Abweichungen. Diese Informationen können Rückschlüsse auf Schwachstellen der Anlagen zulassen und stellen daher vertrauliche Daten dar. Ebenso vertraulich sind Berichte über Störungen, Unfälle, Notfalleinsätze oder besondere Vorkommnisse.

Vertraulich sind ferner alle Unterlagen zu Zutrittskontrollsystemen, Video‑ und Gefahrenmeldeanlagen, Evakuierungs‑ und Rettungsplänen, Sicherheitszonen, Schlüsselplänen, biometrischen Verfahren sowie die dazugehörigen Software‑ und Schaltpläne. Diese Dokumente enthalten sensible Informationen über Standorte von Sicherheitstechnik, Verkabelung, Notfallrouten und mögliche Schwachstellen. Die Weitergabe solcher Unterlagen an Unbefugte würde die Sicherheit des Gebäudes und seiner Nutzerinnen und Nutzer gefährden.

Neben physischen Dokumenten sind alle elektronischen Daten, Dateien, CAD‑Modelle, Datenbanken, Cloud‑Backups, Ticketsystem‑Datensätze und E‑Mail‑Kommunikationen vertraulich zu behandeln. Sie können technische Details, Preis‑ oder Kalkulationsinformationen, betriebswirtschaftliche Zahlen oder personenbezogene Informationen enthalten. Alle digital gespeicherten Daten müssen entsprechend geschützt, verschlüsselt und mit Zugriffsbeschränkungen versehen werden.

Zutrittskontroll‑ und Zeiterfassungssysteme verarbeiten personenbezogene Daten (z. B. Namen, Identifikationsnummern, Bewegungsprofile). Art. 9 DSGVO ordnet biometrische Daten als besonders schützenswert ein, sodass eine Verarbeitung nur unter engen Voraussetzungen zulässig ist. Die Offenlegung solcher Daten ist strikt untersagt. Nur autorisierte Personen dürfen für die Dauer des Projekts darauf zugreifen, und der Zugriff ist protokollpflichtig.

Der Bieter ist verpflichtet, sämtliche im Rahmen des Vergabeverfahrens erhaltenen Dokumente, Daten und Informationen zu schützen. Er darf diese nur zum Zweck der Angebotserstellung nutzen und muss sie vor unbefugtem Zugriff bewahren. Dies gilt sowohl für originäre Unterlagen des Auftraggebers als auch für durch eigene Aufzeichnungen oder Analysen abgeleitete Informationen. Die Einhaltung des Need‑to‑know‑Prinzips ist zwingend: Sensible Informationen dürfen ausschließlich Personen zugänglich sein, die sie nachweislich für ihre Arbeit benötigen.

Die ND‑Vereinbarung regelt detailliert, welche Pflichten die Bieter im Hinblick auf die erhaltenen Informationen haben. Dieses Kapitel beschreibt die wesentlichen Verpflichtungen und Verhaltensregeln.

Der Bieter darf vertrauliche Informationen nicht an Dritte weitergeben. Dritte sind alle natürlichen oder juristischen Personen außerhalb des eigenen Unternehmens sowie interne Mitarbeitende ohne Notwendigkeit zur Kenntnis. Es ist untersagt, technische Daten, Pläne oder personenbezogene Informationen mit Konkurrenzunternehmen, Geschäftspartnern oder der Öffentlichkeit zu teilen. Veröffentlichungen in Medien, Präsentationen oder Schulungen, bei denen vertrauliche Details preisgegeben werden könnten, sind ausgeschlossen.

Die Vervielfältigung vertraulicher Unterlagen ist nur insoweit zulässig, wie sie für die Angebotsbearbeitung erforderlich ist. Kopien dürfen ausschließlich in kontrollierten Umgebungen aufbewahrt und müssen mit Vertraulichkeitskennzeichen versehen werden. Die elektronische Verbreitung ist mit verschlüsselten Übertragungsverfahren abzusichern. Eine Veröffentlichung in öffentlichen Netzwerken (z. B. Internet, soziale Medien) ist verboten. Bei Beendigung des Vergabeverfahrens sind alle Kopien auf Verlangen zurückzugeben oder datenschutzkonform zu vernichten.

• Informationssicherheits‑Managementsystem: Einführung oder Nutzung eines ISMS nach ISO/IEC 27001, um Risiken zu identifizieren und Sicherheitsmaßnahmen festzulegen. Die Zertifizierung erhöht die Vertrauenswürdigkeit und wird bei öffentlichen Ausschreibungen oft verlangt.

• Zugriffssteuerung: Einrichtung von rollenbasierten Zugriffsrechten (Least‑Privilege‑Prinzip). Jeder Mitarbeitende erhält nur die Berechtigungen, die für seine Aufgabe notwendig sind. Standardpasswörter sind zu ändern, starke Passwörter und Multi‑Faktor‑Authentifizierung sind zu nutzen.

• Netzwerksegmentierung: Trennung der Systeme, auf denen vertrauliche Daten gespeichert sind, von anderen Unternehmensnetzwerken. Unnötige Schnittstellen und Dienste sind abzuschalten; Firewalls und VPN‑Verbindungen sind zu verwenden.

• Härtung und Aktualisierung: Geräte und Software sind nach Installationsanleitungen zu härten, ungenutzte Funktionen zu deaktivieren und Sicherheits‑Updates regelmäßig einzuspielen.

• Überwachung und Protokollierung: Einrichtung von Protokollen und Monitoring zur Erkennung von unbefugten Zugriffen. Sicherheitsvorfälle sind zu dokumentieren und sofort zu melden.

• Schulung und Sensibilisierung: Regelmäßige Schulungen der Mitarbeitenden zur Informationssicherheit, zum Umgang mit Phishing, Malware und Social Engineering sowie zur Einhaltung der Vertraulichkeitspflichten.

Wenn der Bieter Subunternehmer einsetzt, müssen diese vor Erhalt vertraulicher Informationen verpflichtet werden, die ND‑Bedingungen einzuhalten. Es ist eine vertragliche „Back‑to‑Back“-Regelung vorzusehen, die sicherstellt, dass Subunternehmer denselben Vertraulichkeitsstandards unterliegen wie der Bieter selbst. Der Bieter bleibt für das Verhalten der Subunternehmer verantwortlich und hat die Einhaltung regelmäßig zu überwachen.

Nach Abschluss des Vergabeverfahrens oder bei Nichtzuschlag ist der Bieter verpflichtet, alle vertraulichen Unterlagen, Datenträger und Kopien unverzüglich an den Auftraggeber zurückzugeben oder nachweislich zu vernichten. Elektronische Daten sind vollständig zu löschen oder durch sichere Vernichtungsmaßnahmen (z. B. überschreiben mit zertifizierten Tools) zu entfernen. Aufbewahrungen sind nur zulässig, wenn gesetzliche Aufbewahrungsfristen bestehen; in diesem Fall sind die Unterlagen verschlossen aufzubewahren und dürfen nicht für andere Zwecke genutzt werden.

Zutrittskontrollsysteme sind besonders sensibel, da sie die physische Sicherheit des Gebäudes gewährleisten. Die folgenden Punkte müssen vom Bieter strikt beachtet werden.

Zutrittskontrollsysteme sind besonders sensibel, da sie die physische Sicherheit des Gebäudes gewährleisten. Die folgenden Punkte müssen vom Bieter strikt beachtet werden.

Die Architektur von Zutrittskontrollsystemen, inklusive der Kommunikationswege zwischen Lesern, Controllern, Servern und Management‑Stationen, ist geheim zu halten. Informationen über Schnittstellen zu anderen Systemen (z. B. Gebäudeautomation, Videoüberwachung, HR‑Systeme) dürfen nicht offengelegt werden. Bieter sollen sicherstellen, dass alle Dokumentationen zu Systemtopologien nur an autorisierte Personen ausgegeben werden und vor fremdem Zugriff geschützt sind.

Zutrittskontrollsysteme verarbeiten personenbezogene Daten. Es sind die Grundsätze der DSGVO einzuhalten: Datenminimierung, Zweckbindung und Speicherbegrenzung. Verantwortliche und Auftragsverarbeiter müssen geeignete Datenschutzmaßnahmen implementieren (z. B. Pseudonymisierung oder Verschlüsselung) und betroffene Personen über die Verarbeitung informieren. Die biometrische Erfassung (Fingerabdrücke, Handvenen, Gesichtsmerkmale) unterliegt strengen gesetzlichen Voraussetzungen; sie ist nur bei zwingendem Erfordernis zulässig.

Ergebnisse von Systemtests, Schwachstellenanalysen und Penetrationstests enthalten detaillierte Informationen über mögliche Angriffspunkte und sind somit vertraulich. Sie dürfen ausschließlich den verantwortlichen Sicherheitsbeauftragten und dem Auftraggeber zugänglich gemacht werden. Verbreitung oder Veröffentlichung dieser Ergebnisse ist untersagt. Werden solche Tests von Dritten durchgeführt, ist sicherzustellen, dass diese ebenfalls eine ND‑Vereinbarung unterzeichnen.

• Starke Authentifizierung: Einsatz individueller Benutzerkonten, komplexer Passwörter und Multi‑Faktor‑Authentifizierung, um unbefugte Zugriffe zu verhindern.

• Netzwerksegmentierung: Trennung des Zutrittskontrollnetzes von anderen Netzwerken, Einsatz von VLANs und Firewalls.

• Verschlüsselung der Kommunikation: Nutzung von Protokollen wie TLS für die gesicherte Datenübertragung und Verschlüsselung sensibler Datenspeicher.

• Regelmäßige Sicherheitsupdates und Patchmanagement: Sicherstellen, dass Hardware und Software stets auf dem aktuellen Stand sind.

• Überwachung und Logging: Protokollierung aller Zugriffe und Ereignisse sowie kontinuierliche Überwachung der Systeme.

• Notfallpläne: Erstellung von Incident‑Response‑Plänen mit klaren Zuständigkeiten und Back‑up‑Systemen.

Die Abgabe einer unterzeichneten ND‑Erklärung ist Grundvoraussetzung für die Teilnahme am Vergabeverfahren. Ohne unterzeichnete Erklärung erhält der Bieter keinen Zugang zu den Ausschreibungsunterlagen. Die Erklärung bestätigt, dass der Bieter die Bestimmungen dieses Leitfadens verstanden hat und zur vollständigen Einhaltung verpflichtet ist.

Der Auftraggeber prüft die eingereichten ND‑Erklärungen vor der Herausgabe der Vergabeunterlagen. Er behält sich das Recht vor, bei Zweifeln an der Zuverlässigkeit oder Leistungsfähigkeit des Bieters zusätzlichen Informationsschutz oder Nachweise zu verlangen. Erst nach erfolgreicher Prüfung wird Zugang zu den vertraulichen Unterlagen gewährt, ggf. gestaffelt nach Vertraulichkeitsstufen.

Eine Weigerung, die ND‑Vereinbarung zu unterzeichnen, führt zum Ausschluss vom Vergabeverfahren. Bei Verstößen gegen die ND‑Verpflichtungen kann der Auftraggeber Schadensersatzansprüche gemäß § 280 BGB geltend machen und den Bieter vom weiteren Verfahren ausschließen. Vertragswidriges Verhalten kann zudem strafrechtliche Konsequenzen nach sich ziehen. Für den Fall, dass vertrauliche Daten unbefugt weitergegeben werden, behält sich der Auftraggeber vor, Schadensersatzforderungen gerichtlich geltend zu machen.

Die Verpflichtungen aus der ND‑Vereinbarung gelten über die Dauer des Vergabeverfahrens hinaus. Auch nach Vertragsschluss oder einer Absage müssen alle Informationen vertraulich bleiben, bis der Auftraggeber schriftlich etwas anderes bestimmt oder die Informationen öffentlich zugänglich werden. Die Verpflichtung gilt zeitlich unbegrenzt, sofern nicht ausdrücklich eine abweichende Frist vereinbart wurde.

• Vollständige Einhaltung: Der Bieter bestätigt, dass er die Vertraulichkeit sämtlicher Informationen wahrt und die Daten nur zur Erstellung des Angebots verwendet.

• Verantwortlichkeit: Der Bieter übernimmt die volle Verantwortung für alle Mitarbeitenden, Erfüllungsgehilfen und Subunternehmer, die mit vertraulichen Informationen in Berührung kommen. Er stellt sicher, dass diese denselben Verpflichtungen unterliegen.

• Nachweise: Auf Verlangen des Auftraggebers weist der Bieter durch Dokumentation nach, dass angemessene Sicherheitsmaßnahmen umgesetzt wurden (z. B. ISMS‑Zertifizierung, Schulungsnachweise, Sicherheitskonzepte).

• Rechtsfolgen: Der Bieter erkennt an, dass bei Verstößen die in diesem Leitfaden beschriebenen Maßnahmen (Ausschluss, Schadensersatz, strafrechtliche Konsequenzen) gelten.