Datenschutz

DSGVO-Software für Kanzleien: Vergleich 2026

DSGVO-Software für Kanzleien 2026: Mandantengeheimnis (§ 203 StGB, § 43e BRAO), VVT für Mandantendaten und AVV für Berufsgeheimnisträger im Vergleich.

Welche DSGVO-Software passt zu einer Kanzlei? Kurzantwort: eine, die den Berufsgeheimnisträger-Status ernst nimmt. Für Anwälte, Steuerberater und Wirtschaftsprüfer reicht ein Standard-Datenschutztool nicht — die Software muss das Mandantengeheimnis (§ 203 StGB, § 43e BRAO) technisch und vertraglich absichern, ein Verzeichnis führen, das Mandantendaten sauber von Kanzleidaten trennt, und einen Umgang mit Auskunftsersuchen ermöglichen, der nicht mit der anwaltlichen Schweigepflicht kollidiert. Entscheidend sind daher zwei Prüfsteine: der AVV-Standard des Anbieters für Berufsgeheimnisträger und die Frage, ob Dritte technisch auf Mandantsdaten zugreifen können.

Dieser Vergleich zeigt, worauf Kanzleien bei DSGVO-Software achten müssen — und warum generische Tools hier an ihre Grenzen stoßen.

Key Takeaways

  • Kanzleien sind Berufsgeheimnisträger: § 203 StGB stellt die Offenbarung von Mandantsgeheimnissen unter Strafe — auch gegenüber IT-Dienstleistern ohne saubere Absicherung.
  • § 43e BRAO regelt seit 2017 ausdrücklich die Einschaltung von IT- und Cloud-Dienstleistern durch Rechtsanwälte.
  • Das Verzeichnis muss Mandantendaten von Kanzleiverwaltungsdaten trennen; nicht jede Verarbeitung darf gleich behandelt werden.
  • Auskunftsersuchen Dritter dürfen die anwaltliche Schweigepflicht nicht aushebeln — die Software muss diese Kollision abbilden.
  • Auswahlkriterium Nr. 1: Der AVV des Anbieters muss § 203 StGB und § 43e BRAO explizit adressieren.

Warum Kanzleien Sonderanforderungen haben

Eine Kanzlei ist datenschutzrechtlich ein Doppelfall. Sie ist einerseits normaler Verantwortlicher für ihre eigenen Daten — Mitarbeiter, Buchhaltung, Website. Andererseits verarbeitet sie hochsensible Mandantsdaten unter einem zusätzlichen Schutzregime, das älter ist als die DSGVO: dem strafbewehrten Berufsgeheimnis.

§ 203 StGB stellt die unbefugte Offenbarung von Mandantsgeheimnissen unter Strafe. Der 2017 eingeführte Absatz 3 erlaubt zwar die Einschaltung „sonstiger mitwirkender Personen" — also auch IT-Dienstleister —, verlangt aber, dass diese zur Verschwiegenheit verpflichtet werden und nur den Zugriff erhalten, der zur Aufgabenerfüllung nötig ist. Für Anwälte konkretisiert § 43e BRAO diese Anforderung: Der Dienstleistungsvertrag muss die Verschwiegenheitspflicht und die Kontrollrechte der Kanzlei ausdrücklich regeln.

Praktisch heißt das: Eine Kanzlei darf keine Software einsetzen, deren Anbieter unkontrolliert auf Mandantsdaten zugreifen kann. Der Standard-AVV nach Art. 28 DSGVO genügt nicht — er muss um die Berufsgeheimnisträger-Klauseln ergänzt sein. Die Grundlagen der Auftragsverarbeitung und ein passendes Vertragsmuster finden Sie im AVV-Muster für die Auftragsverarbeitung; die branchenspezifische Vertiefung im Beitrag zum Mandantengeheimnis in Anwaltskanzleien.

Die Vergleichskriterien für Kanzleien

Kriterium Warum bei Kanzleien entscheidend
AVV für Berufsgeheimnisträger § 203 StGB / § 43e BRAO explizit im Vertrag
Zugriffskonzept Kein Anbieterzugriff auf Mandantsdaten im Klartext
VVT mit Datentrennung Mandanten- vs. Kanzleiverwaltungsdaten getrennt
Verschlüsselung Ende-zu-Ende oder anbieterseitig schlüsselgetrennt
EU-Hosting Kein Drittlandzugriff auf Mandantsgeheimnisse
Umgang mit Auskunftsersuchen Schweigepflicht schlägt Auskunftsanspruch Dritter
Löschkonzept Aufbewahrungsfristen für Handakten (§ 50 BRAO: 6 Jahre)
Deutsche Lokalisierung Kammer, Gericht und Behörde lesen Deutsch

Der Kern ist das Zugriffskonzept. Eine Plattform, bei der Support-Mitarbeiter des Anbieters Mandantsdaten im Klartext einsehen könnten, ist für eine Kanzlei ein § 203-Risiko — unabhängig davon, wie gut der DSGVO-AVV formuliert ist. Fragen Sie deshalb in jeder Demo: Wer beim Anbieter kann technisch auf unsere Inhaltsdaten zugreifen, und wie ist das vertraglich und technisch begrenzt?

Wichtig ist die Unterscheidung zwischen Metadaten und Inhaltsdaten. Eine Datenschutzplattform verarbeitet in der Regel nur Metadaten — die Beschreibung der Verarbeitungen, die Vertragspartner, die Fristen —, nicht die eigentlichen Mandantsakten. Solange die Software keine Inhaltsdaten der Mandate speichert, ist das § 203-Risiko deutlich geringer als bei der operativen Kanzleisoftware, die die Akten selbst führt. Klären Sie deshalb genau, welche Datenkategorie das jeweilige Werkzeug berührt: Eine reine Compliance-Dokumentationsplattform stellt andere Anforderungen als ein Dokumentenmanagementsystem, das Schriftsätze und Verträge im Volltext vorhält.

Die Kollision von Auskunftsrecht und Schweigepflicht

Ein häufig übersehener Sonderfall: Stellt eine dritte Person ein Auskunftsersuchen nach Art. 15 DSGVO und tauchen dabei Mandantsgeheimnisse auf, kollidieren zwei Pflichten. Die Kanzlei muss dem Antragsteller Auskunft über seine Daten geben — darf aber die durch § 203 StGB und die Verschwiegenheitspflicht geschützten Informationen Dritter nicht offenbaren. Art. 15 Abs. 4 DSGVO und die nationalen Bereichsausnahmen lösen das zugunsten des Geheimnisschutzes, aber die Kanzlei muss die Abwägung dokumentieren.

Gute Software bildet das ab: Sie erlaubt, bei der Bearbeitung eines Auskunftsersuchens geschützte Inhalte zu markieren und die Entscheidung zu begründen. Generische Tools behandeln jedes Auskunftsersuchen gleich und produzieren so das Risiko einer unzulässigen Offenbarung. Für die verwandten Berufsgruppen gelten ähnliche Prinzipien — siehe unsere Leitfäden zur DSGVO in der Anwaltskanzlei und zur DSGVO für Steuerberater-Kanzleien.

Das Verzeichnis: Mandantendaten sauber trennen

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 der Datenschutz-Grundverordnung ist auch für Kanzleien das erste Dokument jeder Behördenprüfung. Der Unterschied zur normalen Firma liegt in der Struktur: Eine Kanzlei muss zwei Welten trennen. Auf der einen Seite die eigene Verwaltung — Mitarbeiterdaten, Buchhaltung, Website, Marketing —, die wie bei jedem Unternehmen zu dokumentieren ist. Auf der anderen Seite die Mandantsdaten, die unter dem Berufsgeheimnis stehen und im Verzeichnis mit besonderer Vorsicht behandelt werden müssen.

Der praktische Fehler: Kanzleien führen ein pauschales Verzeichnis, in dem Mandantsakten wie normale Kundendaten erscheinen. Das verschleiert den Sonderstatus und erschwert die spätere Abwägung bei Auskunftsersuchen. Gute Software erlaubt, Verarbeitungen als geheimnisgeschützt zu kennzeichnen und die daraus folgenden Sonderregeln — eingeschränkte Auskunft, strengere Zugriffskontrolle, längere Aufbewahrung — konsistent durchzuziehen.

Ein zweiter Punkt ist die Aufbewahrung. Handakten müssen nach § 50 BRAO sechs Jahre aufbewahrt werden; steuerliche Unterlagen unterliegen den Fristen der Abgabenordnung. Das kollidiert mit dem Grundsatz der Speicherbegrenzung, der eine möglichst kurze Aufbewahrung verlangt. Das Verzeichnis muss diese gesetzlichen Aufbewahrungspflichten als Rechtsgrundlage für die weitere Speicherung ausweisen — sonst wirkt die lange Aufbewahrung wie ein Verstoß, obwohl sie gesetzlich geboten ist. Ein Löschkonzept, das berufsrechtliche Fristen kennt, ist damit für Kanzleien Pflichtbestandteil der Software.

Dedizierte Kanzleisoftware versus Datenschutzplattform

Viele Kanzleien verwechseln zwei Softwarekategorien. Die Kanzleisoftware (Aktenverwaltung, Zeiterfassung, beA-Anbindung) ist das operative System. Eine Datenschutzplattform ist das Compliance-System, das Verzeichnis, DSFA, AV-Verträge und Betroffenenrechte dokumentiert. Beide sind nötig; sie ersetzen einander nicht. Der häufigste Fehler ist die Annahme, die Kanzleisoftware sei automatisch DSGVO-Compliance — sie verarbeitet die Daten, dokumentiert aber nicht die Rechtmäßigkeit.

Für die Compliance-Ebene ist eine EU-Plattform mit sauberem Zugriffskonzept die rationale Wahl. Der vollständige Marktüberblick mit Anbieterbewertung — von deutschen Anbietern über EU-Pure-Player wie Legiscope bis zu den Enterprise-Suiten — steht im DSGVO-Software-Vergleich. Für Kanzleien gilt dort besonders: Das exportierte Verzeichnis und der AVV-Standard entscheiden, nicht die Länge der Featureliste.

Ein praktischer Sonderfall verdient dabei eigene Aufmerksamkeit: das besondere elektronische Anwaltspostfach (beA) und die wachsende Zahl an Legal-Tech-Diensten, die Kanzleien einbinden — von der automatisierten Fristenberechnung über Vertragsanalyse bis zur E-Discovery. Jeder dieser Dienste, der Mandantsdaten berührt, braucht einen eigenen AVV mit den Berufsgeheimnisträger-Klauseln, und jeder gehört ins Verzeichnis als Auftragsverarbeiter. Gerade bei KI-gestützten Legal-Tech-Werkzeugen ist zusätzlich zu prüfen, ob eingegebene Schriftsätze zum Training des Anbieters verwendet werden — ein Ausschluss dieser Verwendung muss vertraglich festgehalten sein, sonst droht eine unbefugte Offenbarung nach § 203 StGB. Eine Datenschutzplattform, die diese Dienstleisterkette lückenlos führt, macht sichtbar, wo Mandantsgeheimnisse das Haus verlassen.

Die Größenfrage: kleine Sozietät versus Großkanzlei

Der Softwarebedarf einer Kanzlei skaliert weniger mit der Zahl der Berufsträger als mit der Struktur. Eine Einzelkanzlei oder kleine Sozietät hat überschaubare Verarbeitungen und wenige Auftragsverarbeiter; hier genügt oft eine schlanke Plattform, die das Verzeichnis, die AV-Verträge und ein einfaches Löschkonzept führt. Der Aufwand liegt in der Disziplin, nicht im Werkzeug.

Eine mittlere oder große Kanzlei mit mehreren Standorten, Referaten und internationalem Mandat hat dagegen Anforderungen, die denen eines Konzerns ähneln: getrennte Verzeichnisse je nach Rechtsform der Standorte, komplexe Auftragsverarbeiter-Ketten (Cloud, Übersetzungsdienste, E-Discovery-Anbieter) und die Notwendigkeit, den DSB-Überblick über alle Referate zu behalten. Ab dieser Größe wird die Multi-Entity-Fähigkeit der Software relevant, und der Wert einer Plattform mit konsolidierter Sicht steigt deutlich.

In beiden Fällen bleibt der Prüfstein derselbe: Kann die Software Mandantsdaten als geheimnisgeschützt behandeln, hält der AVV § 203 StGB und § 43e BRAO ein, und liegt das Hosting sicher in der EU? Eine Großkanzlei, die diese Punkte ignoriert, hat trotz teurer Suite ein strukturelles Risiko; eine kleine Kanzlei, die sie beachtet, ist mit einem günstigen Werkzeug gut aufgestellt. Die Investition richtet sich nach der Struktur, das Schutzniveau nach dem Berufsrecht.

FAQ

Darf eine Kanzlei überhaupt Cloud-Software für Mandantsdaten nutzen?

Ja. § 203 Abs. 3 StGB und § 43e BRAO erlauben seit 2017 ausdrücklich die Einschaltung von IT- und Cloud-Dienstleistern — vorausgesetzt, der Vertrag verpflichtet den Dienstleister zur Verschwiegenheit, begrenzt den Zugriff auf das Notwendige und sichert der Kanzlei Kontrollrechte. Ein reiner DSGVO-AVV genügt dafür nicht; er muss um die Berufsgeheimnisträger-Klauseln ergänzt sein.

Worauf muss der AVV einer Kanzlei-Software achten?

Er muss § 203 StGB und § 43e BRAO explizit adressieren: Verschwiegenheitsverpflichtung aller Mitarbeiter des Anbieters, Zugriffsbeschränkung auf Mandantsdaten, Kontroll- und Weisungsrechte der Kanzlei sowie EU-Hosting ohne Drittlandzugriff. Fehlt eine dieser Klauseln, ist die Software für Berufsgeheimnisträger ungeeignet.

Wie geht die Software mit Auskunftsersuchen um, die Mandantsgeheimnisse berühren?

Sie muss erlauben, geschützte Inhalte Dritter bei der Bearbeitung zu markieren und von der Auskunft auszunehmen — gestützt auf Art. 15 Abs. 4 DSGVO und die Bereichsausnahmen zugunsten der anwaltlichen Schweigepflicht. Die Abwägung ist zu dokumentieren; generische Tools ohne diese Funktion erzeugen ein Offenbarungsrisiko.

Ersetzt die Kanzleisoftware eine Datenschutzplattform?

Nein. Kanzleisoftware verwaltet Akten und Fristen operativ, dokumentiert aber nicht die datenschutzrechtliche Rechtmäßigkeit. Verzeichnis, DSFA, AV-Verträge und Betroffenenrechte gehören in eine eigene Datenschutzplattform. Beide Systeme sind nötig.

Fazit

Für Kanzleien ist DSGVO-Software vor allem eine Frage des Geheimnisschutzes: Der AVV muss § 203 StGB und § 43e BRAO erfüllen, der Anbieter darf nicht unkontrolliert auf Mandantsdaten zugreifen, und das Verzeichnis muss Mandanten- von Kanzleidaten trennen. Wählen Sie eine EU-Plattform mit sauberem Zugriffskonzept und einem AVV für Berufsgeheimnisträger — nicht das Tool mit dem größten Modulkatalog. Die vollständige Marktübersicht liefert unser DSGVO-Software-Vergleich, die branchenspezifische Vertiefung der Beitrag zum Mandantengeheimnis.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →