Datenschutz in der Anwaltskanzlei: Was Berufsgeheimnisträger 2026 beachten müssen

Der Datenschutz in der Anwaltskanzlei hat sich in den vergangenen Jahren zu einem eigenständigen Compliance-Thema entwickelt, das weit über die bloße Einhaltung der DSGVO hinausgeht. Wer als Rechtsanwalt personenbezogene Daten verarbeitet, trägt eine doppelte Verantwortung: zum einen als Berufsgeheimnisträger nach § 43a BRAO, zum anderen als Verantwortlicher im Sinne der Datenschutz-Grundverordnung. Diese Überlagerung zweier Schutzsysteme macht die Anforderungen komplex, ihre Missachtung aber umso folgenreicher. Mandanten vertrauen ihrer Kanzlei intimste Lebenssachverhalte an. Datenpannen, unzulässige Datenübermittlungen oder mangelhafte IT-Sicherheit können nicht nur empfindliche Bußgelder nach sich ziehen, sondern auch das Vertrauen der Mandantschaft dauerhaft erschüttern. Der folgende Überblick zeigt, worauf Kanzleien im Jahr 2026 besonders achten müssen, welche technischen und organisatorischen Maßnahmen verpflichtend sind und wie sich berufsrechtliche Verschwiegenheitspflicht und Datenschutzrecht miteinander in Einklang bringen lassen.

DSGVO und Berufsrecht: Zwei Regelwerke, ein Schutzziel

Das Zusammenspiel von DSGVO und § 203 StGB
Anwälte unterliegen der strafrechtlich sanktionierten Verschwiegenheitspflicht nach § 203 StGB. Jede unbefugte Offenbarung von Geheimnissen, die dem Rechtsanwalt in seiner beruflichen Eigenschaft anvertraut wurden, ist strafbar. Die DSGVO ergänzt diesen Schutz um einen zivilrechtlichen und verwaltungsrechtlichen Rahmen, ohne den Vorrang des Berufsgeheimnisses zu verdrängen.

In der Praxis bedeutet das: Selbst wenn eine Datenverarbeitung nach DSGVO grundsätzlich zulässig wäre, zum Beispiel auf Basis eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO, kann sie gegen die anwaltliche Verschwiegenheitspflicht verstoßen. Umgekehrt reicht die bloße Verschwiegenheit gegenüber Dritten nicht aus, um den datenschutzrechtlichen Anforderungen zu genügen. Kanzleien müssen beide Regelwerke parallel im Blick behalten.

Rechtsgrundlagen für die Datenverarbeitung in der Kanzlei
Die Verarbeitung von Mandantendaten stützt sich in aller Regel auf Art. 6 Abs. 1 lit. b DSGVO, also auf die Erfüllung eines Vertrags. Für besondere Kategorien personenbezogener Daten, etwa Gesundheitsdaten oder Informationen über strafrechtliche Verurteilungen, greift Art. 9 DSGVO. Rechtsanwälte können sich hier häufig auf Art. 9 Abs. 2 lit. f DSGVO berufen, der die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erlaubt.

Wichtig ist, dass die Rechtsgrundlage vor Beginn der Verarbeitung feststeht. Eine nachträgliche Legitimierung ist nach DSGVO-Logik nicht möglich. Kanzleien sollten ihre Verarbeitungstätigkeiten daher systematisch dokumentieren und den jeweiligen Erlaubnistatbestand klar benennen.

Verzeichnis der Verarbeitungstätigkeiten: Pflicht mit Substanz

Was das Verzeichnis enthalten muss
Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist keine bürokratische Formalie, sondern ein zentrales Steuerungsinstrument. Für jede Verarbeitungstätigkeit, von der Mandantenakte über die Buchhaltung bis zur Personalverwaltung, müssen unter anderem folgende Angaben festgehalten werden: Zweck der Verarbeitung, Kategorien betroffener Personen und verarbeiteter Daten, Empfänger oder Kategorien von Empfängern, Speicherfristen sowie eine allgemeine Beschreibung technischer und organisatorischer Schutzmaßnahmen.

Kanzleien mit weniger als 250 Mitarbeitern sind von dieser Pflicht grundsätzlich nur befreit, wenn die Verarbeitung nicht regelmäßig erfolgt oder keine besonderen Datenkategorien betrifft. Da Anwälte jedoch typischerweise regelmäßig sensible Daten verarbeiten, greift die Befreiung in der kanzleilichen Praxis so gut wie nie.

Typische Schwachstellen im Kanzleialltag
Viele Kanzleien führen zwar ein Verzeichnis, aktualisieren es aber nicht konsequent. Neue Verarbeitungstätigkeiten, etwa die Einführung einer cloudbasierten Kanzleisoftware oder die Nutzung eines KI-gestützten Recherchetools, werden häufig nicht nachgetragen. Auch die Dokumentation von Löschfristen bleibt oft lückenhaft. Dabei sind nachvollziehbare Löschkonzepte, die sowohl handels- und steuerrechtliche Aufbewahrungspflichten als auch die berufsrechtlichen Vorgaben berücksichtigen, ein wesentliches Element eines funktionierenden Datenschutzmanagementsystems.

Technische und organisatorische Maßnahmen in der Kanzlei

IT-Sicherheit als Kernpflicht
Art. 32 DSGVO verpflichtet Kanzleien, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Was das konkret bedeutet, hängt vom Schutzbedarf der verarbeiteten Daten ab. Da Mandantendaten regelmäßig einem hohen Schutzbedarf unterliegen, sind die Anforderungen entsprechend hoch.

Zu den Mindestanforderungen, die 2026 als Stand der Technik gelten, gehören verschlüsselte Kommunikation per E-Mail, gesicherte Zugriffskontrollen mit Mehr-Faktor-Authentifizierung, regelmäßige Datensicherungen, ein dokumentiertes Patchmanagement sowie die physische Sicherung von Serverräumen und Arbeitsbereichen. Besondere Aufmerksamkeit verdient die Nutzung mobiler Endgeräte: Laptops und Smartphones, auf denen Mandantendaten gespeichert sind, müssen verschlüsselt und fernlöschbar sein.

Homeoffice, Videokonferenzen und Cloud-Dienste
Die zunehmende Verlagerung von Kanzleiarbeit ins Homeoffice und die routinemäßige Nutzung von Videokonferenzsystemen für Mandantengespräche haben den datenschutzrechtlichen Handlungsbedarf erhöht. Für Videokonferenzen mit Mandanten gilt: Der Anbieter muss in der Lage sein, eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO abzuschließen. Dienste, die Gesprächsinhalte zu Trainingszwecken verarbeiten, sind für anwaltliche Mandantengespräche grundsätzlich ungeeignet.

Cloud-Dienste für die Aktenablage oder das Dokumentenmanagement sind datenschutzrechtlich dann problematisch, wenn der Anbieter keinen Auftragsverarbeitungsvertrag anbietet oder Server außerhalb der EU betreibt.

Drittlandtransfers sind ohne geeignete Garantien nach Art. 46 DSGVO unzulässig. Laut AKTA sind diese Anforderungen gerade für kleinere Kanzleien ein häufig unterschätztes Risiko, das sich durch sorgfältige Anbieterwahl und Vertragsgestaltung beherrschen lässt.

Auftragsverarbeitung: Wann ein AV-Vertrag nötig ist
Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist immer dann erforderlich, wenn ein externer Dienstleister im Auftrag der Kanzlei personenbezogene Daten verarbeitet und dabei weisungsgebunden handelt. Das betrifft klassischerweise IT-Dienstleister, Aktenvernichter, Scandienstleister und Anbieter von Kanzleisoftware als SaaS-Lösung.

Nicht unter die Auftragsverarbeitung fällt die Beauftragung von Steuerberatern, Dolmetschern oder Sachverständigen, sofern diese eigenverantwortlich tätig werden und eigene Berufsgeheimnisse tragen. Hier liegt in der Regel eine gemeinsame Verantwortlichkeit oder eine eigenständige Verantwortlichkeit des Dienstleisters vor.

Betroffenenrechte und Datenschutzpannen

Auskunft, Löschung, Einschränkung: Was Mandanten verlangen können
Mandanten und andere betroffene Personen haben das Recht, Auskunft über die sie betreffenden Daten zu verlangen, Berichtigung unrichtiger Daten zu fordern, unter bestimmten Voraussetzungen Löschung oder Einschränkung der Verarbeitung zu beantragen sowie der Verarbeitung zu widersprechen.

Für Kanzleien bedeutet das: Es muss intern klar sein, wer für die Bearbeitung solcher Anfragen zuständig ist, wo welche Daten gespeichert sind und wie eine vollständige Auskunft innerhalb der gesetzlichen Frist von einem Monat erteilt werden kann. Die Frist kann in komplexen Fällen um weitere zwei Monate verlängert werden, doch muss die betroffene Person darüber informiert werden.

Problematisch ist in der Praxis häufig das Spannungsverhältnis zwischen dem Auskunftsrecht eines Mandanten und dem Schutz der Daten anderer Beteiligter, etwa der Gegenseite im Rechtsstreit. Hier ist eine sorgfältige Abwägung im Einzelfall erforderlich.

Datenpannen: Meldepflicht und Reaktionskette
Verletzungen des Schutzes personenbezogener Daten, also Datenpannen, müssen nach Art. 33 DSGVO unverzüglich und in der Regel innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde gemeldet werden, sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei hohem Risiko müssen zusätzlich die betroffenen Personen direkt informiert werden.

Kanzleien sollten einen internen Reaktionsplan für Datenpannen vorhalten, der klare Zuständigkeiten, Meldefristen und Dokumentationspflichten enthält. Typische Datenpannen im Kanzleiumfeld sind versehentlich falsch adressierte E-Mails mit Mandantenunterlagen, Ransomware-Angriffe auf die Kanzleiinfrastruktur oder der Verlust eines unverschlüsselten Laptops.

Praktische Empfehlungen für Kanzleien im Jahr 2026
Wer den Datenschutz in der Anwaltskanzlei nachhaltig verankern möchte, sollte auf ein zusammenhängendes Maßnahmenpaket setzen, das technische, organisatorische und dokumentarische Elemente verbindet.

Zunächst empfiehlt sich eine Bestandsaufnahme aller Verarbeitungstätigkeiten, die nicht nur die offensichtlichen Bereiche wie Mandatsverwaltung erfasst, sondern auch Kommunikationstools, Buchhaltungssoftware und externe Dienstleister einschließt. Darauf aufbauend lassen sich Rechtsgrundlagen klären, Löschfristen festlegen und das Verzeichnis der Verarbeitungstätigkeiten pflegen.

Für die Mitarbeitenden sind regelmäßige Schulungen unverzichtbar. Datenschutzverstöße entstehen in Kanzleien häufig nicht durch technisches Versagen, sondern durch menschliche Fehler: falsch adressierte E-Mails, ungesicherte Gespräche in öffentlichen Verkehrsmitteln oder sorgloser Umgang mit Passwörtern. Sensibilisierung ist daher ein zentraler Baustein jedes Datenschutzkonzepts.

Ein weiterer wichtiger Schritt ist die Überprüfung aller bestehenden AV-Verträge mit IT-Dienstleistern und Softwareanbietern. Verträge, die vor 2026 abgeschlossen wurden, entsprechen möglicherweise nicht mehr dem aktuellen Stand der Technik oder bilden neue Verarbeitungstätigkeiten nicht ab. Auch die Datenschutzerklärung auf der Kanzleiwebsite sollte regelmäßig auf Aktualität geprüft werden.

Schließlich lohnt sich die Frage, ob die Kanzlei einen externen Datenschutzbeauftragten bestellen sollte. Eine gesetzliche Pflicht besteht nach Art. 37 DSGVO für Anwaltskanzleien in der Regel nicht, sofern keine umfangreiche systematische Verarbeitung besonderer Datenkategorien erfolgt. Gleichwohl kann ein externer Datenschutzbeauftragter erhebliche Unterstützung leisten und hilft, blinde Flecken im Datenschutzmanagement aufzudecken.

Häufig gestellte Fragen

Gilt die DSGVO auch für Einzelanwälte mit wenigen Mandanten?

Ja, die DSGVO gilt grundsätzlich für jede natürliche oder juristische Person, die personenbezogene Daten verarbeitet, unabhängig von der Kanzleigröße. Für Einzelanwälte gelten dieselben Grundpflichten wie für große Sozietäten: Verarbeitungsverzeichnis (soweit einschlägig), Informationspflichten, technische und organisatorische Maßnahmen sowie die Einhaltung von Betroffenenrechten. Lediglich die Pflicht zur Bestellung eines Datenschutzbeauftragten entfällt in aller Regel.

Dürfen Anwälte Mandantendaten in der Cloud speichern?
Eine Cloud-Nutzung ist datenschutzrechtlich zulässig, wenn bestimmte Voraussetzungen erfüllt sind: Der Anbieter muss einen Auftragsverarbeitungsvertrag anbieten, die Server müssen sich innerhalb der EU oder eines Landes mit angemessenem Datenschutzniveau befinden, und die Daten müssen während der Übertragung und im Ruhezustand verschlüsselt sein. Zusätzlich ist zu prüfen, ob die berufsrechtliche Verschwiegenheitspflicht durch die Nutzung des jeweiligen Dienstes gewahrt bleibt.

Wie lange müssen Anwälte Mandantenakten aufbewahren?
Es gibt keine einheitliche gesetzliche Aufbewahrungsfrist speziell für Anwaltsakten. Die Bundesrechtsanwaltskammer empfiehlt eine Aufbewahrung von mindestens fünf Jahren nach Abschluss des Mandats, in bestimmten Bereichen, etwa im Erbrecht oder bei Immobilientransaktionen, können deutlich längere Fristen sachgerecht sein. Handels- und steuerrechtliche Aufbewahrungspflichten von sechs beziehungsweise zehn Jahren sind dabei separat zu berücksichtigen. Nach Ablauf der Fristen sind die Daten datenschutzkonform zu löschen oder zu vernichten.