Gensidig Fortrolighedsaftale (Mutual NDA) Danmark

Den gensidige fortrolighedsaftale i Danmark — også kaldet mutual NDA eller tosidet NDA — er et juridisk bindende dokument, der forpligter begge aftaleparter til gensidig hemmeligholdelse af de oplysninger og forretningshemmeligheder, som udveksles i forbindelse med et forretningsformål. I modsætning til den ensidige fortrolighedsaftale, hvor kun den ene part er forpligtet, gælder den gensidige aftale symmetrisk — begge parter er på én gang videregivende og modtagende part, og begge er berettigede til at håndhæve aftalens bestemmelser.

Den gensidige fortrolighedsaftale er forankret i lov om forretningshemmeligheder (lov nr. 309 af 25. april 2018), der implementerer EU-direktiv 2016/943 om beskyttelse af forretningshemmeligheder i dansk ret. Lovens § 2 fastlægger betingelserne for, hvornår en oplysning udgør en forretningshemmelighed: oplysningen må ikke være almindeligt kendt, den skal have handelsværdi på grund af sin hemmelighed, og indehaveren skal have truffet rimelige foranstaltninger til hemmeligholdelse. Uden disse tre betingelser er den lovbestemte beskyttelse fraværende, og aftalen er det eneste retlige fundament for beskyttelsen.

Kerneforskellen på den gensidige og den ensidige NDA er den symmetriske forpligtelsesstruktur. Ved den ensidige NDA bærer kun den ene part risikoen for at afsløre forretningshemmeligheder, og kun den part har behov for kontraktlig beskyttelse. Ved den gensidige aftale er risikoen og beskyttelsesbehovet spejlbilledet — begge parter afslører følsomme oplysninger og har en legitim interesse i hemmeligholdelse. Typiske situationer er due diligence-undersøgelser ved virksomhedsoverdragelse, joint venture-forhandlinger, strategiske alliancer og tværorganisatoriske FoU-samarbejder.

Aftalens grundstruktur bygger på en klar definition af, hvad der udgør fortrolige oplysninger for henholdsvis Part A og Part B. De to kategorier kan variere væsentligt i indhold og omfang — en teknologivirksomhed beskytter kildekode og algoritmer, mens en distributionsvirksomhed beskytter markedsdata og kundelister. Definitionen supplementeres af en undtagelsesklausul, der angiver hvornår en oplysning taber sin fortrolighedsstatus — for eksempel når den allerede er offentligt tilgængelig eller lovligt modtages fra tredjemand.

Konventionalboden er et centralt element og gælder i den gensidige aftale for begge Parters overtrædelser. En bod på 50.000-250.000 kr. pr. enkelttilfælde er sædvanlig i B2B. Domstolene — herunder byretten med mulighed for anke til landsret og Højesteret — kan dog nedsætte en urimelig bod efter aftalelovens generalklausul i § 36. Sø- og Handelsretten i København behandler desuden visse erhvervstvister om forretningshemmeligheder og illoyal konkurrence. Fogedforbud efter retsplejelovens kapitel 40 er et effektivt akut-middel.

Databeskyttelsesloven (lov nr. 502 af 23. maj 2018) og GDPR stiller særskilte krav, der ikke erstattes af fortrolighedsaftalen. Udveksles personoplysninger inden for aftalens rammer, skal der desuden indgås en databehandleraftale i medfør af GDPR artikel 28, og begge parter skal i givet fald have hjemmel til behandlingen. Datatilsynet fører tilsyn med overholdelsen og kan udstede bøder på op til 4 % af den globale årsomsætning eller 20 mio. euro.

Den gensidige fortrolighedsaftale i Danmark er nødvendig i enhver forretningssituation, hvor to eller flere parter udveksler fortrolige oplysninger og forretningshemmeligheder i begge retninger, og begge parter dermed har behov for beskyttelse.

Første og hyppigst forekommende situation er due diligence ved virksomhedsoverdragelse eller fusion. Køber undersøger sælgers virksomhed — regnskaber, kontrakter, patenter, kundelister og strategier — men sælger undersøger typisk også købers finansieringskapacitet, planlagte integration og fremtidsplaner. Inden denne gensidige informationsudveksling begynder, indgås en gensidig fortrolighedsaftale med en omfangsrig definition af de beskyttede oplysningskategorier og en fortrolighedsperiode på typisk 5-10 år.

Anden situation er joint venture-forhandlinger, hvor to selvstændige virksomheder overvejer at etablere et fælles selskab, en fælles produktlinie eller en delt geografisk markedsposition. Inden selskabsaftale og vedtægter udformes, udveksles forretningsplaner, budgetter og markedsanalyser gensidigt — alt med krav om beskyttelse fra begge sider. Den gensidige NDA beskytter forhandlingsfasen og den indledende struktureringsfase.

Tredje situation er strategiske alliancer og partnerskaber, for eksempel co-marketing-aftaler, distributionssamarbejder og teknologiudvekslingsprogrammer. Begge virksomheder afslører markedsdata, kundesegmenter, prismodeller og kampagnestrategier. Uden en gensidig aftale risikerer begge parter, at den anden Part udnytter de afslørede oplysninger til selvstændig fordel uden for samarbejdet.

Fjerde situation er tværorganisatoriske FoU-samarbejder, for eksempel mellem en medicinalvirksomhed og Danmarks Tekniske Universitet eller et privat GTS-institut. Begge parter bidrager med forskningsmæssig baggrundsviden, og begge har interesse i at beskytte kliniske data, produktformuleringer og patenterbare opfindelser inden den formelle FoU-aftale underskrives. Publiceringsrettigheder og patentanmeldelser indgår i den gensidige fortrolighedsramme.

Femte situation er kapitalrejsning med institutionelle investorer eller kapitalfonde, der selv besidder markedsfølsomme oplysninger om parallelle investeringer, porteføljeselskaber og investeringsstrategi. Begge parter har legitim interesse i beskyttelse, og en gensidig NDA etablerer symmetrien. Visse kapitalfonde foretrækker dog stadig en ensidig NDA i præliminærfasen.

Sjette situation er outsourcing og teknologipartnerskaber, hvor en virksomhed outsourcer kritiske funktioner til en leverandør med specialviden. Begge parter afslører egne forretningshemmeligheder — kunden afslører forretningsprocesser og it-arkitektur, leverandøren afslører metodologi og teknologi. Den gensidige aftale beskytter begge sider under kontraktsforhandlingerne og i driftsfasen. Databehandleraftale efter GDPR artikel 28 er sædvanligvis nødvendig ved siden af fortrolighedsaftalen.

En juridisk holdbar gensidig fortrolighedsaftale i Danmark skal indeholde en række specifikke elementer, der afspejler aftalens symmetriske struktur og opfylder kravene i lov om forretningshemmeligheder § 2.

Fuldstændig identifikation af begge parter er grundlaget: fuldt firmanavn, selskabsform, adresse og CVR-nummer for juridiske personer. Den tegningsberettigede persons navn og titel angives. Begge parter betegnes symmetrisk som „Part A” og „Part B” — ingen er kun videregivende part.

Klar definition af fortrolige oplysninger for hver part er det vigtigste element. Definitionen bør indeholde to særskilte lister — en for Part A's beskyttede kategorier og en for Part B's. Specifikke og udtømmende lister — kildekode, algoritmer, forretningsplaner, kundelister, prisberegning, FoU-data, leverandørlister — er langt bedre end en generisk formulering som „alle erhvervsmæssige oplysninger”, der kan anses som for ubestemt. Undtagelserne fra fortrolighed bør angives symmetrisk og præcist. forms-legal.com tilbyder en gratis, juridisk gennemtestet skabelon for den gensidige fortrolighedsaftale med disse nødvendige elementer.

Formål og anvendelsesafgrænsning fastlægger rammen. Fortrolige oplysninger må alene bruges til det beskrevne formål — for eksempel due diligence ved køb af en specifik virksomhed. Enhver anden udnyttelse er forbudt, og brud udgør misligholdelse uanset hvilken Part der foretager udnyttelsen.

Need-to-know-princippet gælder for begge Parter. Adgang til den anden Parts fortrolige oplysninger må kun gives til medarbejdere og rådgivere med et dokumenteret behov. Disse personer skal skriftligt acceptere fortrolighedspligten — en særskilt fortrolighedspåtegning i ansættelses- eller konsulentaftalen. Ansættelsesbevisloven (lov nr. 501 af 02/05/2023) kræver desuden, at væsentlige vilkår for ansatte fremgår af ansættelsesbrevet.

Gensidige og symmetriske hemmeligholdelsesforanstaltninger beskrives konkret — kryptering, adgangskontrol, fysisk sikring og IT-sikkerhedsforanstaltninger. Begge Parter forpligtes på de samme standarder. Asymmetriske krav, fx hvis kun den ene Part er forpligtet til kryptering, skaber ubalance og risiko.

Tilbageleverings- og destruktionspligt ved aftalens ophør sikrer, at ingen af Parterne sidder med den andens fortrolige materiale efter samarbejdets afslutning. Begge Parter bekræfter skriftligt, at destruktionen er gennemført. Digital dokumentation som logfiler og slettecertifikater anbefales.

Gensidige konventionalbøder, der gælder symmetrisk for begge Parters overtrædelser, er et stærkt håndhævelsesmiddel. I B2B er bøder på 50.000-250.000 kr. pr. overtrædelse sædvanlige. Aftalelovens § 36 sætter grænsen for bøder, der er urimeligt høje.

Lovvalg, værneting og voldgiftsklausul afslutter aftalen. Dansk ret og voldgift ved Voldgiftsinstituttet (Danish Arbitration) er hyppigt valgt ved internationale erhvervsaftaler, fordi voldgift er fortrolig — en afgørende fordel i sager om forretningshemmeligheder. Relaterede dokumenter: due diligence-fortrolighedsaftalen ved virksomhedskøb og joint venture-aftalen ved fælles selskabsetablering.

Udfyldelse af den gensidige fortrolighedsaftale i Danmark kræver koordineret input fra begge parter og forudgående klarhed over det konkrete formål og de beskyttede oplysningskategorier.

Trin 1 — bekræft at gensidig aftale er korrekt form: Aftal med modparten, at begge sider faktisk videregiver fortrolige oplysninger. Er kun den ene part videregivende, er en ensidig NDA tilstrækkelig og administrativt enklere. Den gensidige aftale er berettiget ved due diligence, joint ventures, strategiske alliancer og tværorganisatoriske FoU-projekter.

Trin 2 — registrér begge parter fuldstændigt: Indsæt begge firmanavne, adresser og CVR-numre med nøjagtighed. Fejl i partsangivelsen kan skabe usikkerhed om, hvem der er bundet af aftalen. Angiv den tegningsberettigede persons navn og funktion.

Trin 3 — formulér det konkrete formål præcist: Formålsbeskrivelsen er afgørende for fortrolighedspligtens rækkevidde. Et vagt formål som „forretningssamarbejde” er utilstrækkeligt — beskriv det konkrete formål: „Gensidig due diligence forud for mulig erhvervelse af aktiemajoriteten i XYZ A/S” eller „Forhandling om etablering af et fælles salgssselskab på det tyske marked”. Jo mere præcist formålet er beskrevet, desto klarere er fortrolighedsforpligtelsernes grænser.

Trin 4 — udform to særskilte lister over fortrolige oplysningskategorier: En for Part A og en for Part B. Listerne bør afspejle de faktiske oplysningstyper, der vil blive udvekslet i forhandlingsprocessen. Gennemgå systematisk: tekniske data, finansielle data, forretningsstrategi, kunder/leverandører/partnere, FoU og immaterielle rettigheder, personaledata og it-systemer.

Trin 5 — vurdér og aftale om mærkningskrav: Krav om mærkning af skriftlige oplysninger med „Fortroligt” styrker bevisførelsen i en tvist, men indebærer risiko for, at umærkede oplysninger falder uden for beskyttelsen. Overvej, om et generelt beskyttelsesomfang (alle ikke-offentlige forretningsoplysninger er fortrolige) er mere hensigtsmæssigt for det konkrete samarbejde.

Trin 6 — fastlæg og gennemfør gensidige hemmeligholdelsesforanstaltninger: Aftal konkrete tekniske og organisatoriske foranstaltninger for begge Parter — kryptering, adgangsbegrænsning, clean desk-politik. Foranstaltningerne skal faktisk gennemføres. Dokumentér gennemførelsen — uden faktiske foranstaltninger mistes forretningshemmelighedsstatus efter lov om forretningshemmeligheder § 2.

Trin 7 — fastlæg symmetrisk varighed: En løbetid på 3-5 år samt en efterfølgende fortrolighedsperiode på 3-10 år efter ophør er sædvanligt. Symmetrien sikrer, at ingen Part er begunstiget. Angiv ikrafttrædelsesdatoen præcist.

Trin 8 — dimensionér konventionalboden proportionalt: Boden skal gælde for begge Parter ved overtrædelse. Den skal stå i et rimeligt forhold til virksomhedernes størrelse og det potentielle tab. En uforholdsmæssig bod nedsættes efter aftalelovens § 36.

Trin 9 — underskriv, arkivér og gennemfør: Begge Parter underskriver aftalen på samme dag, eventuelt digitalt med MitID via Penneo eller Visma Addo. Gem aftalen og al dokumentation — udleverede dokumenter, adgangslogs, foranstaltningsdokumentation — i mindst fortrolighedsperiodens fulde varighed.

Den gensidige fortrolighedsaftale i Danmark er underlagt aftalelovens generelle rammer, lov om forretningshemmeligheder og databeskyttelseslovgivningen.

Formfrihed og skriftforms anbefalelse: Fortrolighedsaftaler er formfri i dansk aftaleret, jf. aftaleloven (LBK nr. 193 af 02/03/2016) § 1 — de kan indgås mundtligt eller skriftligt. Af bevismæssige grunde er skriftform stærkt anbefalet, og digital underskrift med MitID er gyldig efter eIDAS-forordningens regler om kvalificerede elektroniske signaturer.

Rimelighedscensur og generalklausulen i aftalelovens § 36: En urimelig eller uforholdsmæssig klausul i fortrolighedsaftalen kan ændres eller tilsidesættes helt eller delvist af domstolene. Særligt konventionalbøder og tavshedspligter af urimeligt lang varighed er genstand for § 36-censur. Vurderingen tager hensyn til forholdene ved indgåelsen, aftalens indhold og efterfølgende ændrede omstændigheder.

Krav til forretningshemmelighedsstatus efter § 2: Beskyttelsen forudsætter, at de beskyttede oplysninger faktisk opfylder § 2-betingelserne — herunder aktive hemmeligholdelsesforanstaltninger fra begge Parter. Manglende foranstaltninger hos en af Parterne kan føre til tab af beskyttelse for den Parts oplysninger.

Lovbestemte beføjelser ved brud: Lov om forretningshemmeligheder §§ 12-15 giver forbud mod fortsat krænkelse, påbud om tilbagelevering og tilintetgørelse, og krav om erstatning og rimeligt vederlag. Fogedforbud efter retsplejelovens kapitel 40 er en akut beføjelse. Begge Parter kan anvende disse beføjelser over for den anden Part ved overtrædelse.

Databeskyttelsesforordningen og databeskyttelsesloven: Udveksles personoplysninger, skal begge Parter opfylde GDPR og databeskyttelsesloven (lov nr. 502 af 23/05/2018). En fortrolighedsaftale erstatter ikke en databehandleraftale efter GDPR artikel 28. Datatilsynet fører tilsyn og kan udstede bøder.

Markedsføringsloven og god markedsføringsskik: Illoyal udnyttelse af den anden Parts forretningshemmeligheder kan desuden krænke god markedsføringsskik efter markedsføringslovens § 3 (lovbekendtgørelse nr. 1420 af 02/12/2024). Forbrugerombudsmanden og Konkurrence- og Forbrugerstyrelsen fører tilsyn hermed.

Anti-trust og konkurrenceret: Ved forhandlinger om joint ventures og strategiske alliancer skal Parterne iagttage konkurrencelovens § 6 om forbudte konkurrencebegrænsende aftaler. Udveksling af konkurrencefølsomme oplysninger — priser, kapacitet, markedsandele — kan udgøre en overtrædelse af konkurrenceretten, selv om den sker under en fortrolighedsaftale. Konkurrence- og Forbrugerstyrelsen og EU-Kommissionen fører tilsyn.

Voldgift og fortrolighed: En voldgiftsklausul med henvisning til Voldgiftsinstituttet (Danish Arbitration) sikrer, at tvisten afgøres fortroligt uden risiko for yderligere eksponering af de beskyttede oplysninger i offentlige retsprocesser.

Hyppige fejl ved gensidige fortrolighedsaftaler i Danmark svækker beskyttelsen for en eller begge Parter og kan i værste fald gøre aftalen praktisk talt virkningsløs.

Fejl 1 — asymmetrisk definition af fortrolige oplysninger: Begge Parter bør have en klar og specifikationsrig definition af deres egne beskyttede kategorier. En gensidig aftale, hvor kun Part A's kategorier er detaljeret og Part B's er udefinerede, skaber bevisproblemer for Part B i en tvist. Hver Part bør forhandle sin egen definitionsliste nøje.

Fejl 2 — manglende symmetri i forpligtelserne: En NDA, der pålægger en Part strengere pligter end den anden — for eksempel kun kræver kryptering fra Part A, eller fastsætter en kortere fortrolighedsperiode for Part B — er ikke gensidig i realiteten. En asymmetri i forpligtelserne kan desuden påvirke aftalens gyldighed og fortolkning i tvister.

Fejl 3 — for bred definition der krænker konkurrenceretten: En gensidig fortrolighedsaftale, der dækker fremtidige priser, kapacitetsplaner, markedsandele og kundesegmenter, risikerer at udgøre en forbudt informationsudveksling efter konkurrencelovens § 6. Det korrekte er at begrænse definitionen til den konkrete transaktion og undlade at inkludere fremadrettede konkurrencefølsomme oplysninger.

Fejl 4 — aftale, der undlader at regulere brud under forhandlingerne: Mange gensidige NDA'er indgås inden forhandlingerne starter, men er uklare om, hvad der sker, hvis den ene Part trækker sig fra forhandlingerne. Skal fortrolighedspligten ophøre straks? Gælder den automatisk i yderligere år? Afklaring af ophørsmekanismen og den efterfølgende fortrolighedsperiodes start er afgørende.

Fejl 5 — manglende regulering af tredjeparters (rådgiveres) adgang: Ved due diligence er det sædvanligt, at advokater, revisorer og finansielle rådgivere får adgang til fortrolige oplysninger på vegne af en Part. Aftalen skal regulere, om disse tredjeparter er tilladt, og i så fald om Parten hæfter for tredjepartens overholdelse. Manglende regulering skaber et hul i beskyttelsen.

Fejl 6 — ingen klar tilbageleverings- og destruktionsprocedure: Aftalen bør beskrive præcist, hvornår og hvordan fortroligt materiale tilbageleveres eller destrueres ved aftalens ophør. Digital destruktion af personoplysninger er desuden et krav under GDPR — manglende sletningsprocedurer kan udløse bøder fra Datatilsynet.