Geheimhaltungsvereinbarung (NDA)

Stand: Mai 2026

§ 1 Vertragsparteien

Diese Geheimhaltungsvereinbarung (nachfolgend "NDA") wird geschlossen zwischen:

• domulex software GmbH
  (Betreiberin von domulex.ai, nachfolgend "Anbieter")
• Dem gewerblichen Kunden
  (wie im Bestellprozess angegeben, nachfolgend "Kunde")

gemeinsam als "Parteien" bezeichnet.

§ 2 Gegenstand der Vereinbarung

(1) Diese NDA regelt den Umgang mit vertraulichen Informationen, die im Rahmen der Nutzung der Plattform domulex.ai zwischen den Parteien ausgetauscht werden.

(2) Die Vereinbarung gilt gegenseitig: Beide Parteien können sowohl Offenleger als auch Empfänger vertraulicher Informationen sein.

§ 3 Definition vertraulicher Informationen

(1) "Vertrauliche Informationen" umfassen alle Informationen, unabhängig von ihrer Form (schriftlich, mündlich, elektronisch), die:

• Als "vertraulich" oder "geheim" gekennzeichnet sind, oder
• Ihrer Natur nach als vertraulich zu betrachten sind, oder
• Im geschäftlichen Kontext üblicherweise als vertraulich gelten

(2) Zu den vertraulichen Informationen zählen insbesondere:

Seitens des Kunden:

• Mandanten- und Aktendaten (bei Rechtsanwälten, Steuerberatern)
• Mieter-, Eigentümer- und WEG-Daten (Hausverwaltung, WEG-Verwaltung)
• Investoren- und Kapitalgeberdaten
• Hochgeladene Verträge (Miet-, Kauf-, Wartungs-, Versicherungs-, Gewerbemietverträge)
• Buchhaltungs-, Heizkosten- und Hausgeld-Abrechnungsdaten
• Compliance-Dokumentation (VVT, AVV, TOM, Datenpannen, Schulungsnachweise)
• Interne Geschäftsdokumente, Korrespondenz und Schriftsätze
• Finanzielle Informationen, Zahlungsflüsse, Forderungen
• Strategische Geschäftsinformationen

Seitens des Anbieters:

• Technische Implementierungsdetails der Plattform
• Proprietäre Algorithmen und KI-Modelle
• Geschäftsstrategien und Roadmaps
• Nicht-öffentliche Preis- und Konditionsmodelle

§ 4 Ausnahmen von der Vertraulichkeit

Die Geheimhaltungspflicht gilt nicht für Informationen, die:

• Zum Zeitpunkt der Offenlegung bereits öffentlich bekannt waren
• Nach der Offenlegung ohne Verschulden des Empfängers öffentlich wurden
• Dem Empfänger bereits vor der Offenlegung bekannt waren
• Von einem Dritten rechtmäßig ohne Geheimhaltungspflicht erhalten wurden
• Unabhängig vom Empfänger entwickelt wurden
• Aufgrund gesetzlicher Verpflichtung offengelegt werden müssen

§ 5 Pflichten der Parteien

(1) Jede Partei verpflichtet sich:

• Vertrauliche Informationen streng geheim zu halten
• Diese nur für den vereinbarten Zweck zu verwenden
• Diese nicht an Dritte weiterzugeben ohne vorherige schriftliche Zustimmung
• Angemessene Schutzmaßnahmen zu ergreifen (mindestens wie für eigene vertrauliche Informationen)
• Den Zugang auf Mitarbeiter zu beschränken, die diese Informationen für ihre Tätigkeit benötigen

(2) Der Anbieter verpflichtet sich zusätzlich:

• Hochgeladene Dokumente nicht für Trainingszwecke der KI zu verwenden
• Mandantendaten streng von anderen Kundendaten zu trennen
• Inhalte von Anfragen nicht an andere Kunden oder Dritte weiterzugeben
• Keine Analyse oder Auswertung von Kundendaten zu kommerziellen Zwecken durchzuführen

§ 6 Zulässige Offenlegung

(1) Die Weitergabe an folgende Personen ist unter Wahrung der Geheimhaltungspflicht gestattet:

• Mitarbeiter, die zur Geheimhaltung verpflichtet sind
• Beauftragte Dienstleister mit entsprechenden Vertraulichkeitsvereinbarungen
• Rechtliche und steuerliche Berater unter Berufsgeheimnis

(2) Bei gesetzlich zwingender Offenlegung (z.B. Gerichtsbeschluss, behördliche Anordnung) ist die andere Partei unverzüglich zu informieren, soweit rechtlich zulässig.

§ 7 Technische Schutzmaßnahmen des Anbieters

Zum Schutz vertraulicher Informationen hat der Anbieter folgende Maßnahmen implementiert:

• Verschlüsselung: TLS 1.2/1.3 für die Übertragung; Verschlüsselung ruhender Daten in Firestore und Cloud Storage durch Google Cloud (AES-256, Google-managed Keys)
• Zugriffskontrolle: Rollenbasiert; Zwei-Faktor-Authentifizierung verfügbar, für Administratoren-Konten verpflichtend
• Logging: Append-only-Audit-Log sicherheitsrelevanter Aktionen mit Zeitstempel und Akteur-ID
• Hosting: Hauptregion Google Cloud europe-west3 (Frankfurt am Main); einzelne Auth-Metadaten können gemäß Google-DPA in weiteren Google-Regionen verarbeitet werden, geschützt durch Standardvertragsklauseln
• Keine Modell-Trainings auf Kundendaten: Eingaben werden ausschließlich zur Beantwortung der konkreten Anfrage genutzt
• Mandantentrennung: Strikte logische Trennung pro Tenant via Firestore-Rules und Custom Claims
• Geplante laufende Verbesserungen: regelmäßige Schwachstellen-Reviews; externe Sicherheits-Audits werden eingeführt, sobald die Plattform den entsprechenden Reifegrad erreicht hat

§ 8 Berufsgeheimnisträger und besondere Treuepflichten

(1) Für Kunden, die Berufsgeheimnisträger gemäß § 203 StGB sind (insbesondere Rechtsanwälte und Steuerberater), gelten besondere Schutzmaßnahmen.

(2) Der Anbieter ist sich der besonderen Vertraulichkeitsanforderungen bewusst und handelt als "sonstige mitwirkende Person" im Sinne des § 203 Abs. 3 StGB.

(3) Alle Mitarbeiter und Auftragnehmer des Anbieters mit Zugang zu Mandanten- oder Verwaltungsdaten sind gesondert zur Verschwiegenheit verpflichtet.

(4) Für Hausverwalter und WEG-Verwalter gelten die treuhänderischen Pflichten gegenüber Eigentümern (insbesondere § 27 WEG) sowie die mietvertraglichen Schutzpflichten gegenüber Mietern entsprechend.

§ 9 Rückgabe und Löschung

(1) Auf Verlangen oder bei Beendigung der Geschäftsbeziehung sind vertrauliche Informationen:

• Zurückzugeben (in elektronischer Form) oder
• Unwiderruflich zu löschen

(2) Die Löschung ist schriftlich zu bestätigen.

(3) Ausnahmen gelten für gesetzliche Aufbewahrungspflichten und Backup-Systeme mit automatischer Löschung.

§ 10 Dauer der Vereinbarung

(1) Diese NDA tritt mit Vertragsabschluss (Buchung eines Tarifs) in Kraft.

(2) Die Geheimhaltungspflichten bestehen:

• Während der gesamten Vertragslaufzeit
• Nach Vertragsende: 5 Jahre für allgemeine Geschäftsinformationen
• Unbefristet für Mandantengeheimnisse und besonders sensible Daten

§ 11 Vertragsstrafe

(1) Bei schuldhafter Verletzung der Geheimhaltungspflichten kann die geschädigte Partei eine Vertragsstrafe verlangen:

• Bei einfacher Fahrlässigkeit: bis zu 10.000
• Bei grober Fahrlässigkeit oder Vorsatz: bis zu 50.000

(2) Die Geltendmachung weitergehender Schadensersatzansprüche bleibt unberührt.

(3) Die Vertragsstrafe wird auf etwaige Schadensersatzansprüche angerechnet.

§ 12 Rechtsbehelfe

(1) Bei drohender oder erfolgter Verletzung dieser Vereinbarung ist die geschädigte Partei berechtigt, Unterlassungsansprüche geltend zu machen.

(2) Im Fall einer drohenden oder erfolgten Verletzung durch den Anbieter kann der Kunde die sofortige Sperrung und Löschung seiner Daten verlangen.

§ 13 Meldepflicht bei Sicherheitsvorfällen

(1) Bei Kenntnisnahme eines tatsächlichen oder vermuteten Sicherheitsvorfalls, der vertrauliche Informationen betrifft, ist die andere Partei unverzüglich zu informieren.

(2) Die Information muss enthalten:

• Art des Vorfalls
• Betroffene Informationen
• Ergriffene Gegenmaßnahmen
• Kontaktperson für Rückfragen

§ 14 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser NDA bedürfen der Textform.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt deutsches Recht.

(4) Gerichtsstand für alle Streitigkeiten aus dieser Vereinbarung ist Frankfurt am Main.

(5) Diese NDA wird automatisch Bestandteil des Nutzungsvertrags bei Buchung durch gewerbliche Kunden.