Zum Hauptinhalt springen
Vertraulichkeitsvereinbarung
Rechtliches

Unternehmens-Vertraulichkeitsvereinbarung

Unsere Unternehmens-Vertraulichkeitsvereinbarung bietet höchsten Schutz für Ihre sensiblen Geschäftsinformationen, proprietären Daten und unternehmenskritischen Systeme.

Zuletzt aktualisiert: 25. August 2025 | Inkrafttreten: 25. August 2025

1. Verpflichtung zur unternehmensweiten Vertraulichkeit

Unsere Vertraulichkeitsverpflichtung:

CobolPro („Unternehmen", „wir", „unser" oder „uns") ist sich bewusst, dass Unternehmenskunden uns ihre wertvollsten und sensibelsten digitalen Vermögenswerte anvertrauen – darunter proprietären Quellcode, geschäftskritische Daten, Geschäftsgeheimnisse und vertrauliche Geschäftsstrategien. Wir verpflichten uns, Kundeninformationen mit dokumentierten Verfahren zu Vertraulichkeit, Zugriffskontrolle, Verschlüsselung und Projekt-Governance zu schützen, die dem vereinbarten Auftrag angemessen sind.

Diese Vertraulichkeitsvereinbarung begründet unsere Verpflichtung, vertrauliche Informationen zu schützen, die uns im Verlauf unserer Geschäftsbeziehung direkt oder indirekt offengelegt werden. Wir setzen Zugriffe nach dem Prinzip der geringsten Rechte, verschlüsselte Datenverarbeitung und vom Kunden genehmigte Arbeitsabläufe ein, um sensible Informationen über den gesamten Projektlebenszyklus hinweg kontrolliert zu halten.

2. Definition vertraulicher Informationen

„Vertrauliche Informationen" umfassen, sind jedoch nicht beschränkt auf, alle vom Kunden offengelegten oder vom Unternehmen erlangten Informationen, die Folgendes betreffen:

  • Quellcode & technische Daten: Sämtliche COBOL-Programme, Anwendungen, Datenbanken, Systemarchitekturen, Algorithmen, technischen Spezifikationen und zugehörige Dokumentationen
  • Geschäftsinformationen: Finanzdaten, Geschäftspläne, Strategien, Kundenlisten, Lieferantenbeziehungen, Preismodelle und betriebliche Verfahren
  • Proprietäre Methoden: Geschäftsregeln, Prozesse, Methoden, Know-how, Geschäftsgeheimnisse und geistiges Eigentum
  • Systeminformationen: Infrastrukturdetails, Sicherheitskonfigurationen, Leistungsdaten und Systemabhängigkeiten
  • Personenbezogene Daten: Alle personenbezogenen Daten (PII), geschützten Gesundheitsdaten (PHI) oder sonstigen sensiblen personenbezogenen Daten
  • Informationen Dritter: Alle vertraulichen Informationen, die Kunden, Partnern oder Lieferanten des Kunden gehören

Alle Informationen gelten als vertraulich, sofern sie nicht vom Kunden ausdrücklich schriftlich als öffentlich gekennzeichnet werden. Dies umfasst auch Informationen, die möglicherweise nicht als vertraulich gekennzeichnet sind, aber im Kontext des Unternehmensbetriebs vernünftigerweise als sensibel anzusehen wären.

3. Geheimhaltungspflichten

STRENGE GEHEIMHALTUNGSVERPFLICHTUNG

Das Unternehmen wird vertrauliche Informationen nicht an Dritte offenlegen, preisgeben oder zugänglich machen, sofern dies nicht durch die geltende schriftliche Vereinbarung, die vorherige schriftliche Zustimmung des Kunden oder zwingende rechtliche Verfahren gestattet ist.

Unsere Geheimhaltungspflichten umfassen:

  • Null Toleranz gegenüber der unbefugten Offenlegung jeglicher vertraulicher Informationen
  • Verbot, das Geschäft, die Systeme oder die Daten des Kunden mit externen Parteien zu erörtern
  • Strenge interne Zugriffskontrollen nach dem Need-to-know-Prinzip mit obligatorischen Vertraulichkeitsschulungen
  • Umfassende Hintergrundüberprüfungen und Sicherheitsfreigaben für alle Personen mit Zugriff
  • Verbindliche Vertraulichkeitsvereinbarungen mit allen Mitarbeitenden, Auftragnehmern und Unterauftragsverarbeitern
  • Sofortige Kündigungsprotokolle bei jeglichen Verstößen gegen die Vertraulichkeit

4. Sicherheitsmaßnahmen & Schutzvorkehrungen

Technische Schutzmaßnahmen

  • Verschlüsselte Übertragung und Speicherung freigegebener Projektmaterialien
  • Vom Kunden genehmigtes Schlüsselmanagement, sofern zutreffend
  • Multi-Faktor-Authentifizierung und Verwaltung privilegierter Zugriffe
  • Sicherheitsüberwachung und Workflows zur Bedrohungserkennung
  • Private Verarbeitungsumgebungen für sensible Workloads, sofern vereinbart
  • Dokumentierte Verfahren zu Rückgabe, Löschung und Aufbewahrung

Organisatorische Schutzmaßnahmen

  • Kontrollen, die auf die Anforderungen von SOC 2 und ISO 27001 ausgerichtet sind
  • Fortlaufende Programme zur Sensibilisierung für Sicherheit
  • Regelmäßige Sicherheitsaudits durch Dritte und Penetrationstests
  • Umfassende Fähigkeiten zur Reaktion auf Vorfälle und zur Forensik
  • Kontrollen zur Datenresidenz und geografische Beschränkungen
  • Verfahren zur Sicherheitsüberwachung und Eskalation

Diese Schutzmaßnahmen werden mit der Weiterentwicklung von Verfahren und Projektanforderungen überprüft und bieten Kundenteams dokumentierte Schutzmaßnahmen, die sie bei Beschaffungs-, Sicherheits- und Auditprüfungen bewerten können.

5. Eingeschränkte Nutzung & Zweckbindung

Strenge Zweckbindung: Vertrauliche Informationen werden ausschließlich zum Zweck der Erbringung der vereinbarten Leistungen für den Kunden verwendet. Eine anderweitige Nutzung, ob direkt oder indirekt, ist unter keinen Umständen gestattet.

Unsere Nutzungsbeschränkungen umfassen:

  • Zugriff auf Informationen ausschließlich durch Personen, die unmittelbar am Projekt des Kunden beteiligt sind
  • Verbot von Reverse Engineering, Analyse oder Extraktion geistigen Eigentums
  • Keine Erstellung abgeleiteter Werke oder konkurrierender Lösungen auf Basis der Informationen des Kunden
  • Strikte Trennung der Kundendaten von anderen Kunden und internen Systemen des Unternehmens
  • Keine Aggregation, Anonymisierung oder statistische Auswertung ohne ausdrückliche schriftliche Zustimmung
  • Sofortige Einstellung jeglicher Nutzung bei Projektabschluss oder Beendigung

6. Datenaufbewahrung & sichere Vernichtung

Nach Abschluss der Leistungen oder auf Verlangen des Kunden wird das Unternehmen:

  • Sofortige Rückgabe: Alle Originaldokumente, Datenträger und Materialien, die vertrauliche Informationen enthalten, innerhalb von 48 Stunden zurückgeben
  • Sichere Vernichtung: Vereinbarte Kopien, Auszüge und Ableitungen unter Verwendung des für den Auftrag festgelegten Bereinigungsverfahrens löschen oder vernichten
  • Digitale Bereinigung: Kryptografische Löschung oder gleichwertige vereinbarte Löschschritte für die betreffenden digitalen Speichermedien durchführen
  • Bestätigung: Auf Verlangen eine schriftliche Bestätigung der vereinbarten Rückgabe- oder Löschschritte bereitstellen
  • Prüfprotokoll: Detaillierte Protokolle aller Vernichtungsaktivitäten zu Prüfzwecken führen

Eine Aufbewahrung vertraulicher Informationen ist ohne ausdrückliche schriftliche Genehmigung des Kunden nicht gestattet, und jede genehmigte Aufbewahrung muss denselben hierin dargelegten Sicherheitsstandards entsprechen.

7. Meldung von Verstößen & Reaktion auf Vorfälle

PROTOKOLL ZUR SOFORTIGEN BENACHRICHTIGUNG

Im Falle eines tatsächlichen oder vermuteten Verstoßes, der Kundeninformationen betrifft, wird das Unternehmen den Kunden gemäß der geltenden Vereinbarung ohne unangemessene Verzögerung benachrichtigen und Maßnahmen zur Eindämmung, Untersuchung und Behebung unterstützen.

Unsere Reaktion auf Vorfälle umfasst:

  • Sofortige Eindämmung und Isolierung betroffener Systeme
  • Benachrichtigung der vom Kunden benannten Sicherheitskontakte in Echtzeit
  • Forensische Untersuchung durch qualifizierte Fachleute, sofern angemessen
  • Detaillierter Vorfallbericht mit Ursachenanalyse und Behebungsschritten
  • Abstimmung mit Strafverfolgungs- und Aufsichtsbehörden, sofern erforderlich
  • Kommerzielle und rechtliche Handhabung gemäß der geltenden Vereinbarung

8. Rechtsmittel & Haftung

MAXIMALER KUNDENSCHUTZ

Das Unternehmen erkennt an, dass ein Verstoß gegen die Vertraulichkeit dem Kunden ernsthaften Schaden zufügen kann. Rechtsmittel, Haftungsgrenzen und verfügbarer Rechtsschutz richten sich nach der geltenden Vereinbarung und dem zwingenden Recht.

Der rechtliche Schutz umfasst:

  • Unterlassungsansprüche oder konkrete Erfüllung, soweit verfügbar
  • Vertragliche Haftungsbedingungen gemäß der geltenden Vereinbarung
  • Anwaltskosten, Auslagen und Aufwendungen, soweit durch Vereinbarung oder Gesetz vorgesehen
  • Versicherungs- und Risikoübertragungsbedingungen vorbehaltlich der Policenbedingungen

9. Regulatorische Compliance & internationale Standards

Das Unternehmen richtet seine Kontrollen und Nachweispakete an wesentlichen Datenschutz- und Sicherheitsrahmenwerken aus:

  • DSGVO — EU-Datenschutz-Grundverordnung
  • SOC 2 Type II — AICPA Sicherheit & Verfügbarkeit
  • ISO 27001 — Informationssicherheitsmanagement

Weitere Compliance-Rahmenwerke umfassen das NIST Cybersecurity Framework, FedRAMP-Anforderungen, HIPAA (sofern zutreffend) sowie branchenspezifische Vorschriften, wie sie der Geschäftskontext des Kunden erfordert.

10. Fortbestehende Pflichten & Fortgeltung

DAUERHAFTE VERTRAULICHKEIT

Die Vertraulichkeitspflichten bestehen über die Beendigung der Geschäftsbeziehung hinaus fort, wie in der geltenden Vereinbarung und im zwingenden Recht festgelegt.

Diese Pflichten bleiben für das Unternehmen, seine Mitarbeitenden, Rechtsnachfolger und Abtretungsempfänger gemäß der geltenden Vereinbarung verbindlich.

11. Kontaktinformationen & Fragen

Bei Fragen zu dieser Vertraulichkeitsvereinbarung oder zur Meldung von Sicherheitsbedenken:

Chief Security Officer: security@cobolpro.com

Rechtsabteilung: legal@cobolpro.com

Reaktion auf Vorfälle: incident@cobolpro.com

Diese Vertraulichkeitsvereinbarung steht für unsere Verpflichtung, Ihre wertvollsten Geschäftswerte zu schützen. Wir wissen, dass Vertrauen durch nachgewiesene Sicherheitspraktiken und dokumentierte Transparenz in unseren Vertraulichkeitspflichten verdient wird.