Fortrolighedsaftale (NDA) Danmark — lov om forretningshemmeligheder

Fortrolighedsaftalen i Danmark er et juridisk bindende dokument, der begrænser videregivelse og udnyttelse af fortrolige oplysninger mellem to eller flere parter. Aftalen kaldes også NDA (Non-Disclosure Agreement) eller hemmeligholdelsesaftale og er forankret i dansk aftaleret samt i lov om forretningshemmeligheder (lov nr. 309 af 25. april 2018), der gennemfører EU-direktiv 2016/943 om beskyttelse af forretningshemmeligheder. En fortrolighedsaftale skaber en kontraktlig tavshedspligt, der supplerer den lovbestemte beskyttelse og gør det lettere at dokumentere og håndhæve et brud ved domstolene.

Kernen i enhver fortrolighedsaftale er definitionen af „forretningshemmelighed“ efter lov om forretningshemmeligheder § 2, nr. 1. En oplysning er beskyttet, når den (a) hverken i sin helhed eller i den præcise udformning og sammensætning af dens bestanddele er almindeligt kendt eller umiddelbart tilgængelig for personer i de kredse, der normalt beskæftiger sig med den pågældende type oplysninger, (b) har handelsværdi, fordi den er hemmelig, og (c) under de givne omstændigheder er undergivet rimelige foranstaltninger til hemmeligholdelse fra den, der lovligt råder over oplysningen. Betingelsen om rimelige foranstaltninger er central — en virksomhed, der ikke aktivt beskytter sine oplysninger, mister forretningshemmelighedsstatus og dermed den lovbestemte beskyttelse.

Fortrolighedsaftalen indgås typisk som en ensidig NDA, når kun den ene part videregiver fortrolige oplysninger — for eksempel når et investorpanel modtager en forretningsplan fra et iværksætterhold. Ved gensidig udveksling indgås en gensidig NDA (mutual NDA), som anvendes ved fusioner og virksomhedsoverdragelser, due diligence-undersøgelser og strategiske alliancer mellem virksomheder. Aftalen forveksles undertiden med en konkurrenceklausul, men de to dokumenter har forskellige formål: fortrolighedsaftalen beskytter oplysninger, mens en konkurrenceklausul efter ansættelsesklausulloven (lov nr. 1565 af 15. december 2015) begrænser en medarbejders adgang til at tage konkurrerende beskæftigelse.

Beføjelserne ved brud på fortrolighedsaftalen er todelte. Kontraktligt følger konventionalbod, erstatning efter dansk rets almindelige erstatningsregler og krav om ophør af den krænkende handling. Lovbestemt følger beføjelserne i lov om forretningshemmeligheder § 12 ff., herunder forbud og påbud, tilintetgørelse af krænkende dokumenter, tilbagekaldelse fra markedet samt erstatning og vederlag efter § 15. Ved særligt grove tilfælde kan der desuden være tale om strafansvar efter straffelovens § 299 a (industrispionage) eller markedsføringslovens regler om god markedsføringsskik i § 3. Fogedforbud efter retsplejelovens kapitel 40 er et effektivt redskab, når et brud skal standses hurtigt, inden tabet bliver irreversibelt.

Ved internationale fortrolighedsaftaler er valget af lovvalg og værneting afgørende. I B2B-forhold aftales sædvanligvis dansk ret og den oplysende parts hjemting som værneting. Ved grænseoverskridende aftaler gælder Rom I-forordningen (forordning 593/2008) for lovvalg og Bruxelles Ia-forordningen (forordning 1215/2012) for værneting inden for EU. Voldgiftsklausuler med henvisning til Voldgiftsinstituttet (Danish Arbitration) anvendes ofte i erhvervskontrakter, fordi voldgift er fortrolig og endelig — en betydelig fordel frem for offentlige retssager ved byret, landsret og i sidste instans Højesteret, hvor forretningshemmeligheder trods beskyttelsesforanstaltninger kan blive eksponeret. Sø- og Handelsretten i København behandler desuden visse erhvervstvister om immaterialret og illoyal konkurrence.

Fortrolighedsaftalen i Danmark er nødvendig i stort set enhver forretningsrelation, hvor fortrolige oplysninger videregives — fra den første investorpræsentation til den fulde due diligence ved en virksomhedsoverdragelse. Aftalen beskytter den oplysende parts berettigede interesse i hemmeligholdelse efter lov om forretningshemmeligheder § 2.

Første typiske situation er virksomhedsoverdragelse og due diligence. En potentiel køber undersøger købet af et anpartsselskab eller aktieselskab og har brug for indsigt i regnskaber, kontrakter, kundedata, patenter og strategier. Inden due diligence påbegyndes, indgås en omfattende gensidig fortrolighedsaftale, hvor både køber og sælger beskytter sig. Her aftales typisk konventionalbod fra 100.000 kr. pr. overtrædelse og fortrolighedsperioder på 5-10 år efter ophør.

Anden situation er investorsamtaler og pitch decks. Et iværksætterselskab præsenterer en forretningsplan, markedsstrategi og finansiel planlægning for en kapitalfond eller business angel. Inden materialet udleveres, underskrives en ensidig NDA, hvor investoren forpligter sig til hemmeligholdelse. Mange større kapitalfonde afviser dog NDA før det første møde, fordi de samtidig vurderer parallelle investeringer i samme branche.

Tredje situation er leverandør- og outsourcingforhold. En produktionsvirksomhed lader en underleverandør fremstille specialkomponenter og udleverer konstruktionstegninger, CAD-modeller og specifikationer. Inden det tekniske materiale overdrages, indgås en fortrolighedsaftale med leverandøren. Uden aftalen risikerer virksomheden, at leverandøren foretager reverse engineering og selv markedsfører produktet som konkurrent.

Fjerde situation er fælles udvikling og strategiske alliancer. To virksomheder etablerer et samarbejde om et fælles produkt eller en geografisk markedsudvidelse. Den gensidige NDA beskytter begge parters forretningshemmeligheder i forhandlings- og struktureringsfasen, inden den egentlige samarbejdsaftale eller selskabsaftale underskrives. Her aftales flerårige tavshedspligter og klausuler om tilbagelevering og destruktion af udleveret materiale.

Femte situation er forskningssamarbejder med universiteter og videninstitutioner. En medicinalvirksomhed samarbejder med Danmarks Tekniske Universitet, Aarhus Universitet eller et GTS-institut om udvikling af et aktivt stof. Inden forskningsdata udveksles, underskrives en fortrolighedsaftale med særlige regler for publikationer og patentansøgninger — hvem må publicere hvad og hvornår, og hvordan anmeldes fælles opfindelser?

Sjette situation er rådgivnings- og revisionsforhold. En revisor eller virksomhedskonsulent får indsigt i fortrolige forretningsdata, regnskaber og strategier. Inden opgaven påbegyndes, indgås en fortrolighedsaftale. For statsautoriserede revisorer gælder desuden den lovbestemte tavshedspligt i revisorloven, og advokater er underlagt tavshedspligt efter retsplejelovens § 129.

Syvende situation er nøglemedarbejdere og freelancere med adgang til strategiske forretningshemmeligheder. Ud over ansættelsesaftalen indgås en særskilt fortrolighedsaftale med konkretiserede tavshedspligter og konventionalbod. Ved freelance- og konsulentforhold er aftalen særlig vigtig, fordi der her ikke automatisk gælder en loyalitetspligt som i et ansættelsesforhold reguleret af funktionærloven og ansættelsesbevisloven (lov nr. 501 af 02/05/2023). Datatilsynet og GDPR stiller desuden krav om en databehandleraftale, hvis personoplysninger indgår i samarbejdet.

En effektiv fortrolighedsaftale i Danmark efter lov om forretningshemmeligheder § 2 skal indeholde en række obligatoriske bestanddele, hvis fravær fører til ugyldighed eller i hvert fald bevisvanskeligheder i en tvist. Fortrolighedsaftalen strukturerer beskyttelsespligten mellem parterne på en retssikker måde og fastlægger sanktionerne ved brud.

Fuldstændig angivelse af parterne er det første element: fuldt firmanavn eller personnavn på begge parter, adresse og CVR-nummer ved selskaber. Ved juridiske personer angives den tegningsberettigede person og dennes funktion. Parterne betegnes som „den oplysende part“ og „den modtagende part“ ved en ensidig NDA, eller som gensidige parter ved en mutual NDA.

Definitionen af fortrolige oplysninger er den centrale klausul. Hvad gælder som fortrolig oplysning? Definitionen bør være så konkret som muligt med en opregning af kategorierne — tekniske data, forretningsplaner, kundelister, priser, kildekode, opskrifter, strategier, personaledata og leverandørlister. En for vag definition, for eksempel „alle oplysninger af fortrolig karakter“, kan tilsidesættes efter aftalelovens § 36 eller anses for uforpligtende på grund af manglende bestemthed. Samtidig bør undtagelserne fremgå klart: ingen fortrolighed, når oplysningen er offentligt kendt, var kendt før videregivelsen, er modtaget lovligt fra tredjemand, er udviklet selvstændigt eller skal videregives efter lov eller myndighedspåbud.

Krav om mærkning er et valgfrit, men anbefalelsesværdigt element. Af bevismæssige grunde er det en fordel at kræve, at skriftlige oplysninger mærkes „Fortroligt“. Mundtlige oplysninger kan kræves bekræftet skriftligt inden for en frist for at opnå fortrolighedsstatus. Denne pligt letter den senere bevisførelse ved byretten.

Formål og tilladt anvendelse skal beskrives konkret — for eksempel „vurdering af et muligt samarbejde om sensorteknologi“. Den modtagende part må alene anvende oplysningerne til dette formål, og enhver økonomisk egenudnyttelse eller anvendelse til andre formål er udelukket. Denne formålsbinding er afgørende for beskyttelsen.

Tavshedspligten og need-to-know-princippet udgør aftalens kerne. Den modtagende part forpligter sig til at holde oplysningerne strengt hemmelige, og adgang må kun gives til de medarbejdere, rådgivere og medhjælpere, der har brug for adgangen til formålet. Disse personer skal skriftligt pålægges en tilsvarende tavshedspligt. forms-legal.com stiller en retssikker skabelon til fortrolighedsaftalen til rådighed med alle obligatoriske bestanddele uden tilmelding.

Rimelige hemmeligholdelsesforanstaltninger efter lov om forretningshemmeligheder § 2, nr. 1, litra c, er en central betingelse. Den modtagende part skal træffe rimelige foranstaltninger — opbevaring under lås, adgangsbegrænsning, kryptering af digitale oplysninger og it-sikkerhedsstandarder. Uden disse foranstaltninger mister oplysningen sin forretningshemmelighedsstatus.

Varighed og fortrolighedsperiode efter ophør skal fastlægges. Aftalen gælder typisk i samarbejdets varighed samt en efterfølgende periode på 3-10 år. Ved strategiske forretningshemmeligheder som opskrifter og kildekode kan beskyttelsen være tidsubegrænset, så længe oplysningen forbliver hemmelig.

Konventionalbod og erstatning fastsættes pr. overtrædelse. I B2B er en bod på 25.000-250.000 kr. pr. enkelttilfælde sædvanlig. Boden kan nedsættes af domstolene efter aftalelovens § 36, hvis den er urimeligt høj. Klausulen bør regulere, om bod og erstatning kan kræves kumulativt, eller om boden udgør et minimumstab.

Henvisning til beføjelser, salvatorisk klausul, skriftform, lovvalg (dansk ret) og værneting (den oplysende parts hjemting eller voldgift ved Voldgiftsinstituttet) afslutter aftalen. Relaterede dokumenter er samarbejdsaftalen ved længerevarende samarbejde, konsulentaftalen ved indkøb af ydelser og agentaftalen ved salgsdistribution.

Korrekt udfyldelse af fortrolighedsaftalen i Danmark kræver både en klar kontraktlig formulering og en faktisk gennemførelse af hemmeligholdelsesforanstaltningerne. En fortrolighedsaftale uden faktiske foranstaltninger er stort set virkningsløs efter lov om forretningshemmeligheder § 2, nr. 1, litra c.

Trin 1 — fastlæg aftaletypen: Afklar, om kun den ene part videregiver fortrolige oplysninger (ensidig NDA), eller om begge parter gør det (gensidig NDA). Ved virksomhedsoverdragelse er en gensidig aftale sædvanlig, ved investorpitch en ensidig aftale. Valget afgør gensidigheden af pligter og beføjelser.

Trin 2 — registrér parterne fuldstændigt: Indtast begge parter med fuldt firmanavn, adresse og CVR-nummer. Ved juridiske personer angives den tegningsberettigede person og dennes funktion. Ved grænseoverskridende aftaler angives hovedforretningsstedets land — relevant for lovvalg efter Rom I-forordningen.

Trin 3 — formulér formålet præcist: Beskriv det konkrete forretningsformål med videregivelsen — for eksempel „vurdering af et samarbejde om sensorteknologi“, „due diligence ved køb af XYZ ApS“ eller „forhandling om joint venture på det tyske marked“. Formålsbeskrivelsen er central for formålsbindingen og rækkevidden af tavshedspligten.

Trin 4 — opregn de fortrolige oplysninger detaljeret: Specificér kategorierne så konkret som muligt. I stedet for „alle fortrolige oplysninger“ er det bedre at skrive: „tekniske specifikationer, konstruktionstegninger, kildekode, patentansøgninger, forretningsplaner, kundelister, prisberegning, strategipapirer, personaledata, leverandørlister“. Jo mere konkret listen er, desto bedre er bevisførelsen i en tvist.

Trin 5 — fastlæg og gennemfør hemmeligholdelsesforanstaltninger: Aftal konkrete tekniske og organisatoriske foranstaltninger — opbevaring i aflåste rum, adgangsbegrænsning via et rettighedskoncept, kryptering af digitale oplysninger (mindst AES-256) og it-sikkerhedsstandarder efter ISO/IEC 27001. Foranstaltningerne skal faktisk gennemføres, ellers mistes forretningshemmelighedsstatus.

Trin 6 — fastlæg varighed og fortrolighedsperiode: Sædvanlige varigheder er 2-5 år, med en fortrolighedsperiode på 3-10 år efter ophør. Ved strategiske forretningshemmeligheder kan perioden være tidsubegrænset, så længe oplysningen forbliver hemmelig.

Trin 7 — dimensionér konventionalboden rimeligt: Fast bod pr. enkeltovertrædelse — i B2B typisk 25.000-250.000 kr. Boden skal stå i et rimeligt forhold til det potentielle tab og interessen i hemmeligholdelse, da den ellers kan nedsættes efter aftalelovens § 36. Regulér udtrykkeligt, om bod og mertab kan kræves kumulativt.

Trin 8 — fastlæg lovvalg og værneting: Ved B2B-aftaler angives den oplysende parts hjemting som værneting og dansk ret som lovvalg. Ved internationale aftaler bør det overvejes, om voldgift ved Voldgiftsinstituttet (Danish Arbitration) er hensigtsmæssigt — voldgift er fortrolig, hvilket beskytter tvistens fortrolighed.

Trin 9 — underskriv og arkivér dokumentation: Begge parter underskriver aftalen, eventuelt digitalt med MitID via Penneo eller Visma Addo. Aftalen og al dokumentation (udleverede dokumenter, adgangslogs, dokumentation for foranstaltninger) opbevares i mindst varigheden plus fortrolighedsperioden — ved tvist skal den oplysende part bevise forretningshemmelighedsstatus og de trufne foranstaltninger.

Fortrolighedsaftalen i Danmark er underlagt en række retlige rammer fra aftaleloven, lov om forretningshemmeligheder og markedsføringsloven, hvis overtrædelse fører til ugyldighed af enkelte klausuler eller bortfald af beskyttelsen.

Formfrihed, men skriftform af bevisgrunde: Fortrolighedsaftalen er efter dansk aftaleret formfri og kan indgås mundtligt, ved konkludent adfærd eller skriftligt, jf. aftaleloven (LBK nr. 193 af 02/03/2016) § 1. Af bevismæssige grunde er skriftform stærkt anbefalet. Digital underskrift med MitID eller en kvalificeret elektronisk signatur efter eIDAS-forordningen (forordning 910/2014) er gyldig på lige fod med fysisk underskrift.

Rimelighedscensur efter aftalelovens § 36: En urimelig eller uforholdsmæssig klausul kan ændres eller tilsidesættes helt eller delvist efter aftalelovens § 36. Det gælder navnlig konventionalbod, der er sat urimeligt højt i forhold til det potentielle tab, samt tavshedspligter af urimelig varighed. Ved vurderingen tages hensyn til forholdene ved aftalens indgåelse, aftalens indhold og senere indtrufne omstændigheder.

Forretningshemmelighedsstatus efter § 2: Beskyttelsen efter lov om forretningshemmeligheder (lov nr. 309 af 25/04/2018) forudsætter, at oplysningen opfylder de tre betingelser i § 2, nr. 1: (a) ikke almindeligt kendt eller umiddelbart tilgængelig, (b) har handelsværdi, fordi den er hemmelig, og (c) er undergivet rimelige hemmeligholdelsesforanstaltninger. Uden faktiske foranstaltninger bortfalder beskyttelsen — en kontraktklausul alene er ikke tilstrækkelig.

Forbud, påbud og tilintetgørelse efter §§ 12-14: Ved brud kan den oplysende part opnå forbud mod fortsat krænkelse, påbud om tilbagelevering eller tilintetgørelse af krænkende dokumenter og varer samt tilbagekaldelse fra markedet. Et fogedforbud efter retsplejelovens kapitel 40 kan nedlægges hurtigt, når et brud skal standses, inden tabet bliver irreversibelt.

Erstatning og vederlag efter § 15: Den krænkende part skal betale erstatning for det lidte tab samt et rimeligt vederlag for udnyttelsen. Erstatningen omfatter både det direkte tab og den krænkedes mistede fortjeneste. Domstolene kan desuden tilkende en godtgørelse for ikke-økonomisk skade.

Strafansvar efter straffeloven og markedsføringsloven: Grove tilfælde af industrispionage kan straffes efter straffelovens § 299 a med fængsel. Illoyal udnyttelse af erhvervshemmeligheder kan desuden være i strid med god markedsføringsskik efter markedsføringslovens § 3, der håndhæves af Forbrugerombudsmanden og Konkurrence- og Forbrugerstyrelsen i forhold til erhvervsdrivende.

Forholdet til ansættelsesklausulloven: For lønmodtagere reguleres konkurrence- og kundeklausuler særskilt i ansættelsesklausulloven (lov nr. 1565 af 15/12/2015), der stiller krav om skriftlighed, kompensation og maksimal varighed på 12 måneder. En fortrolighedsaftale kan ikke omgå disse regler ved reelt at fungere som en konkurrenceklausul over for en medarbejder.

Kolliderende GDPR-pligter: Udveksles personoplysninger inden for rammerne af aftalen, skal databeskyttelsesforordningen (GDPR) og databeskyttelsesloven (lov nr. 502 af 23/05/2018) overholdes — navnlig art. 28 om databehandlere og art. 32 om sikkerhed. En fortrolighedsaftale erstatter ikke en databehandleraftale, og Datatilsynet kan udstede bøder ved manglende aftale.

Værneting og voldgift: Ved B2B-aftaler gælder det aftalte værneting, typisk den oplysende parts hjemting ved byretten. Voldgift ved Voldgiftsinstituttet (Danish Arbitration) er endelig og fortrolig og afskærer domstolsbehandling ved en gyldig voldgiftsklausul. Visse erhvervstvister kan behandles ved Sø- og Handelsretten i København.

Hyppige fejl ved fortrolighedsaftalen i Danmark fører til ugyldighed af klausulen eller til bortfald af forretningshemmelighedsstatus — og dermed til, at den lovbestemte beskyttelse helt forsvinder.

Fejl 1 — for vag definition af fortrolige oplysninger: Klausuler som „alle fortrolige oplysninger“ eller „alle ikke-offentlige data“ er for ubestemte og kan tilsidesættes efter aftalelovens § 36 eller anses for uforpligtende. Det korrekte er en konkret opregning af de beskyttede kategorier — tekniske data, forretningsplaner, kundelister, kildekode, opskrifter, strategier og personaledata — gerne med eksempler.

Fejl 2 — manglende faktiske hemmeligholdelsesforanstaltninger: Fortrolighedsaftalen alene er ikke nok — lov om forretningshemmeligheder § 2, nr. 1, litra c, kræver aktive foranstaltninger. Den, der sender fortrolige data ukrypteret pr. e-mail, lægger dem i åbent tilgængelige cloud-tjenester eller lader dem ligge uden adgangskontrol, mister forretningshemmelighedsstatus og dermed beskyttelsen. Det korrekte er at gennemføre tekniske og organisatoriske foranstaltninger — kryptering, adgangskontrol og it-sikkerhedsstandarder.

Fejl 3 — uforholdsmæssigt høj konventionalbod: Konventionalbod sættes ofte for højt i forhold til virksomhedens størrelse og det potentielle tab. En bod på flere millioner kr. for en lille virksomhed nedsættes regelmæssigt af domstolene efter aftalelovens § 36. Det korrekte er en forholdsmæssig bod — i B2B typisk 25.000-250.000 kr. pr. overtrædelse — kombineret med en klausul om mertab.

Fejl 4 — fortrolighedsaftale som skjult konkurrenceklausul over for medarbejdere: En fortrolighedsaftale, der reelt forhindrer en medarbejder i at tage anden beskæftigelse, omgår ansættelsesklausulloven (lov nr. 1565/2015) og er ugyldig i det omfang. Det korrekte er at adskille de to dokumenter — fortrolighedsaftalen beskytter oplysninger, mens en konkurrenceklausul med kompensation og maksimal varighed reguleres særskilt.

Fejl 5 — manglende regulering af tilbagelevering og destruktion: Mange aftaler regulerer ikke, hvad der sker med udleveret materiale ved samarbejdets ophør. Ved tvist kan den oplysende part kun under vanskelige omstændigheder kræve tilbagelevering eller destruktion. Det korrekte er en klausul om tilbagelevering eller destruktion på første anmodning med bekræftelsespligt for den modtagende part.

Fejl 6 — sammenblanding af NDA og databehandleraftale: Udveksles personoplysninger, er en ren fortrolighedsaftale ikke tilstrækkelig — GDPR art. 28 kræver en separat databehandleraftale. Manglende aftale kan udløse bøder fra Datatilsynet på op til 4 % af den globale årsomsætning eller 20 mio. euro efter art. 83 GDPR. Det korrekte er at indgå en separat databehandleraftale eller supplere fortrolighedsaftalen med GDPR-konforme klausuler.