In einem Satz. Rechtsanwaltskanzleien verarbeiten Mandantendaten unter dreifacher Pflicht — DSGVO, anwaltliche Verschwiegenheitspflicht (§ 43a BRAO, § 2 BORA) und strafrechtliche Geheimhaltung (§ 203 StGB) — wobei der Verstoß gegen die Schweigepflicht über Bußgeld hinaus berufs- und strafrechtlich relevant wird.
Die Verschwiegenheitspflicht ist Kern des Anwaltsberufs. Cloud-Nutzung, externe IT-Dienstleister und Auslagerung sind seit der § 203-StGB-Reform 2017 möglich — mit Schweigepflichtverpflichtung der Dienstleister-Mitarbeiter. Die Rechtsanwaltskammern (RAK) führen berufsrechtliche Aufsicht; Datenschutzaufsicht durch LDA. Siehe BfDI.
Wichtige Punkte
- Dreifachpflicht: DSGVO, § 43a BRAO, § 203 StGB.
- § 203 Abs. 3 StGB seit 2017: Mitwirkende Personen zulässig mit Schweigepflichtverpflichtung.
- beA (besonderes elektronisches Anwaltspostfach) verpflichtend seit 2018.
- Cloud-Nutzung möglich — mit EU-Standort und C5-Niveau erwartet.
- DSB-Pflicht ab 20 Personen oder bei “Kerntätigkeit” sensible Daten.
1. Rechtsgrundlagen für Mandantendaten
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Mandatsvertrag | Art. 6 Abs. 1 lit. b |
| Rechtsverfolgung | Art. 6 Abs. 1 lit. f + § 24 BDSG |
| Sensible Daten (Gesundheit, Strafverf.) | Art. 9 Abs. 2 lit. f (Rechtsansprüche) |
| Abrechnung | Art. 6 Abs. 1 lit. b + GOA/RVG |
| Marketing | Art. 6 Abs. 1 lit. a (Einwilligung) |
2. Verschwiegenheitspflicht § 43a BRAO
Kern: Anwalt ist zur Verschwiegenheit verpflichtet, soweit Tatsachen ihm in beruflicher Eigenschaft anvertraut wurden. Reichweite: alle Mandantenangaben, auch Mandatsverhältnis selbst.
Berufsrechtliche Sanktionen durch RAK:
- Rüge
- Geldbuße bis €25.000
- Vertretungsverbot
- Ausschluss aus Anwaltschaft
3. § 203 StGB: Strafbarkeit
Offenbarung fremder Geheimnisse durch Anwalt: bis 1 Jahr Freiheitsstrafe oder Geldstrafe. Erfasst auch fahrlässige Offenbarung.
§ 203 Abs. 3 StGB seit 2017: Mitwirkende Personen (“sonstige mitwirkende Personen”) zulässig, wenn Anwalt sie zur Geheimhaltung verpflichtet. Anwendung: Sekretariat, IT-Dienstleister, Cloud-Anbieter.
4. IT-Dienstleister und Cloud
Voraussetzungen für externe IT-Nutzung:
- Schweigepflichtverpflichtung der Mitarbeiter des Dienstleisters (§ 203 Abs. 4 StGB)
- AVV nach Art. 28 DSGVO
- EU-Datenstandort
- Zertifizierungen (C5, ISO 27001)
- Verschlüsselung in Transit und at Rest
Siehe AVV-Muster.
5. beA (besonderes elektronisches Anwaltspostfach)
Seit 2018 für alle Anwälte verpflichtend (§ 31a BRAO). BRAK betreibt zentrale Infrastruktur. Datenschutzfragen:
- Verschlüsselte Übermittlung
- Aufbewahrung von Versanddaten
- Zugriff durch Vertreter
6. Mandantenkommunikation per E-Mail
Unverschlüsselte E-Mail ist gemäß BRAK-Richtlinien grundsätzlich zulässig — Mandanten können einen sichereren Weg verlangen. Best Practice 2026:
- TLS-Pflicht für E-Mail-Server (TR-02102 konform)
- Ende-zu-Ende für hochsensible Inhalte
- ggf. Mandanten-Portal für Datenaustausch
Siehe BSI TR-02102.
7. Mandantenakten und Aufbewahrung
| Dokument | Frist | Grundlage |
|---|---|---|
| Handakten | 6 Jahre nach Mandatsende | § 50 BRAO |
| Sonstiges | nach Bedarf, oft 10 Jahre | § 257 HGB |
| Werbeeinwilligungen | bis Widerruf | DSGVO |
§ 50 BRAO ist Mindestfrist. Längere Aufbewahrung bei laufenden Verfahren oder Vollstreckungsfristen.
8. Datenschutzbeauftragter in Kanzleien
DSB-Pflicht nach § 38 BDSG bei:
- 20+ Personen ständig mit automatisierter Verarbeitung
- “Kerntätigkeit” umfangreiche Verarbeitung sensibler Daten (Strafverteidigung, Familienrecht, Medizinrecht)
Häufig externer DSB. Siehe Aufgaben DSB.
9. Auskunftsrecht des Mandanten
Mandant hat Anspruch nach Art. 15 DSGVO + § 50 BRAO. Umfang:
- Vollständige Handakte (mit Vorbehalten)
- Korrespondenz
- Notizen, soweit nicht persönliche Arbeitsmittel
Konflikte mit Vertraulichkeit Dritter: einzelfallabhängige Abwägung.
10. Datenpannen in Kanzleien
Typische Vorfälle:
- Falschadressierte Schriftsätze
- Beraterhaftung bei IT-Hack
- Verlust mobiler Geräte
- Hack der Kanzlei-IT (deutscher Großkanzlei-Fall 2021)
Meldepflicht 72h. Zusätzlich Mandanteninformation und ggf. RAK-Meldung.
11. Sanktionsbeispiele
| Fall | Sanktion |
|---|---|
| Kanzlei (offene Fax-Versendung) | €5.000 RAK + DSGVO-Verwarnung |
| Großkanzlei (IT-Hack, Mandantenleak) | €130.000 + Schadensersatz |
| Steuerberater-Sozietät (offener FTP) | €20.000 LDA |
12. Tool-Unterstützung
Legiscope bildet Mandanten-VVT, DSB-Aufgaben, AVV mit IT-Dienstleistern (inkl. § 203-Verpflichtung) und Aufbewahrungsfrist-Tracking ab.
Fazit
Für Anwälte ist DSGVO der einfache Teil — § 203 StGB und Berufsrecht sind die echten Hebel. Wer Cloud nutzt ohne Schweigepflichtverpflichtung der Dienstleister, riskiert eigene Strafbarkeit. Compliance ist hier Eigenschutz, nicht Mandantenschutz.
FAQ
Darf ich Cloud-Software in der Kanzlei nutzen?
Ja, mit § 203 Abs. 4 StGB-Verpflichtung der Anbietermitarbeiter, AVV, EU-Standort und Verschlüsselung. Microsoft 365 und Datev sind etabliert.
Brauche ich einen Datenschutzbeauftragten?
Ab 20 Personen mit automatisierter Verarbeitung oder bei sensiblen Mandaten (Straf-, Medizin-, Familienrecht) als Kerntätigkeit.
Wie lange muss ich Mandantenakten aufbewahren?
Mindestens 6 Jahre nach Mandatsende (§ 50 BRAO), oft länger wegen Verjährungsfristen und Haftungsabsicherung.
E-Mail-Kommunikation: verschlüsseln oder nicht?
TLS-Server-Verschlüsselung ist Pflicht. Ende-zu-Ende-Verschlüsselung empfohlen bei hochsensiblen Inhalten oder auf Mandantenwunsch.
Was tun bei beA-Ausfall?
Faxweiterleitung an Gericht zulässig bei nachgewiesenem beA-Ausfall, plus Glaubhaftmachung des technischen Problems.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial