Mandantendaten in der Cloud: Was BRAO und DSGVO wirklich verlangen
Microsoft 365 in der Kanzlei – ja oder nein? Die Antwort ist differenzierter, als die meisten denken.
„Cloud ist verboten." – diesen Satz hören wir in jedem zweiten Erstgespräch mit Kanzleien. Er stimmt so nicht. Was die BRAO und die DSGVO verlangen, ist deutlich differenzierter.
Was § 43e BRAO tatsächlich sagt
Die BRAO erlaubt die Auslagerung von Datenverarbeitung an Dritte – sofern eine Verschwiegenheitsverpflichtung vereinbart ist und die Sicherheit gewährleistet bleibt. Cloud-Speicher ist also nicht per se verboten.
Die drei Bedingungen für Cloud-Nutzung
- EU-Rechenzentrum mit nachweisbarer Datenresidenz
- Auftragsverarbeitungsvertrag mit Verschwiegenheitszusatz
- Verschlüsselung at-rest und in-transit mit von Ihnen kontrollierten Schlüsseln (BYOK/HYOK)
Microsoft 365 – konkret
Microsoft 365 erfüllt mit der „EU Data Boundary" und Customer Key seit 2024 alle drei Bedingungen. Der entscheidende Punkt ist die Konfiguration: Aus der Box ist das nicht rechtssicher. Sie brauchen eine Hardening-Konfiguration, die u.a. Connected Services, Telemetrie und Microsoft-supplied Backups deaktiviert.
Was passiert, wenn Sie es falsch konfigurieren
Ein Mandant in Köln hat 2024 ein 12.000-Euro-Bußgeld kassiert, weil Mandantendokumente versehentlich über OneDrive Personal synchronisiert wurden. Drei Klicks falsch konfiguriert.
Fazit
Cloud ist für Kanzleien nicht verboten, aber technisch anspruchsvoll. Wir bieten ein fest paketiertes „Kanzlei-365"-Setup mit gehärteter Konfiguration und kontrollierter Schlüsselablage.