Anhang A 6.6 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)
Vertraulichkeits- und Geheimhaltungsvereinbarungen sind ein zentrales Instrument zum Schutz sensibler Informationen und geistiger Werte einer Organisation. Ohne klare vertragliche Regelungen besteht das Risiko, dass vertrauliche Informationen unbefugt offengelegt, genutzt oder weitergegeben werden. Dieses Control stellt sicher, dass geeignete Vertraulichkeits- oder Geheimhaltungsvereinbarungen abgeschlossen und wirksam umgesetzt werden.
Zweck des Controls
A 6.6 soll gewährleisten, dass Mitarbeitende und externe Parteien zur Wahrung der Vertraulichkeit verpflichtet sind. Ziel ist es, sensible Informationen, personenbezogene Daten, Geschäftsgeheimnisse und andere schützenswerte Informationen vor unbefugter Offenlegung oder Nutzung zu schützen und rechtliche sowie wirtschaftliche Risiken zu minimieren.
Anforderungen und Maßnahmen
1. Identifikation von Parteien mit Vertraulichkeitsbedarf
Organisationen müssen festlegen, für welche Personen oder Parteien Vertraulichkeitsvereinbarungen erforderlich sind, insbesondere:
Mitarbeitende und Führungskräfte
externe Berater, Dienstleister und Lieferanten
temporäre oder projektbezogene Mitarbeitende
Partner und Kooperationsunternehmen
Die Identifikation muss risikoorientiert erfolgen.
Pflichten zur Sicherung und zum Schutz der Informationen
Regelungen zur Weitergabe an Dritte
Dauer der Vertraulichkeitsverpflichtung
Klare Definitionen vermeiden Missverständnisse.
4. Berücksichtigung rechtlicher und regulatorischer Anforderungen
Die Vereinbarungen müssen geltendem Recht entsprechen:
arbeitsrechtliche Vorgaben
datenschutzrechtliche Anforderungen
Regelungen zum Schutz von Geschäftsgeheimnissen
branchenspezifische oder internationale Anforderungen
Die rechtliche Konformität ist sicherzustellen.
5. Kommunikation und Anerkennung der Verpflichtungen
Die Verpflichtungen müssen den betroffenen Personen bekannt sein:
Erläuterung der Inhalte und Pflichten
Bestätigung der Kenntnisnahme und Zustimmung
Integration in Onboarding- und Projektprozesse
Bereitstellung aktueller Vereinbarungen
Nur bekannte Verpflichtungen können eingehalten werden.
6. Überwachung der Einhaltung
Die Einhaltung von Vertraulichkeitsvereinbarungen muss überwacht werden:
Kontrolle des Umgangs mit vertraulichen Informationen
Erkennung und Behandlung von Verstößen
Einleitung geeigneter Maßnahmen bei Verstößen
Dokumentation der Vorfälle
So werden Risiken frühzeitig erkannt.
7. Umgang mit Beendigung oder Vertragsänderungen
Bei Beendigung oder Änderung von Verträgen müssen Vertraulichkeitsaspekte berücksichtigt werden:
Fortgeltung der Vertraulichkeitsverpflichtungen
Rückgabe oder sichere Vernichtung vertraulicher Informationen
Entzug von Zugriffsrechten
Dokumentation der Maßnahmen
Dies schützt Informationen auch nach Vertragsende.
8. Dokumentation und Nachweisführung
Vertraulichkeitsvereinbarungen müssen dokumentiert und aufbewahrt werden:
Archivierung der abgeschlossenen Vereinbarungen
Nachweise über Anerkennung und Gültigkeit
Dokumentation von Änderungen oder Ergänzungen
Schutz vertraulicher Vertragsinhalte
Diese Nachweise sind wichtig für Audits und rechtliche Verfahren.
Zusammenfassung
A 6.6 fordert, dass Organisationen Vertraulichkeits- oder Geheimhaltungsvereinbarungen systematisch einsetzen, um sensible Informationen zu schützen. Durch klare Definitionen, rechtssichere Vereinbarungen, transparente Kommunikation, Überwachung der Einhaltung sowie geregelten Umgang bei Vertragsbeendigung wird sichergestellt, dass Vertraulichkeit nachhaltig gewahrt bleibt. Das Control ist ein wesentlicher Baustein für den Schutz von Informationen, Vertrauen und rechtliche Absicherung im Informationssicherheitsmanagementsystem.
