IT für Kanzleien: souverän trotz US-Cloud-Druck

Die Cloud-Frage ist eine Berufsrechtsfrage

Wer eine Kanzlei führt, kennt die übliche Argumentation für die Cloud: weniger Wartung, von überall erreichbar, planbare Kosten. Für die meisten Unternehmen sind das die entscheidenden Punkte. Für Steuerberater und Rechtsanwälte nicht.

Bei Berufsgeheimnisträgern steht vor der Wirtschaftlichkeit eine andere Prüfung. Mandantendaten unterliegen nicht nur der DSGVO, sondern einer strafbewehrten Verschwiegenheitspflicht. Wer sie auf einem Dienst speichert, auf den eine ausländische Behörde rechtlich zugreifen kann, hat ein Problem. Nicht erst, wenn etwas passiert. Sondern durch die Konstruktion selbst.

Dieser Artikel ordnet die Rechtslage ein, erklärt warum US-Cloud-Dienste hier strukturell schwierig sind, und zeigt, mit welchen Bausteinen sich eine Kanzlei souverän aufstellt. Ohne Dogma. Manches bleibt sinnvollerweise beim etablierten Anbieter.

Die Rechtslage, kurz und unbequem

Die Verschwiegenheitspflicht ist das Fundament des Mandatsverhältnisses. Für Anwälte steht sie in § 43a BRAO, für Steuerberater in § 57 StBerG, strafbewehrt über § 203 StGB. Ein Verstoß ist kein Kavaliersdelikt, sondern eine Straftat.

Lange war unklar, ob ein externer IT-Dienstleister überhaupt mit den Systemen einer Kanzlei arbeiten darf, ohne dass die Schweigepflicht verletzt wird. Diese Lücke hat der Gesetzgeber 2017 geschlossen. Seitdem dürfen Berufsgeheimnisträger „sonstige mitwirkende Personen” einbeziehen, ausdrücklich auch IT-Dienstleister, sofern diese zur Verschwiegenheit verpflichtet werden (§ 203 Abs. 3 und 4 StGB). Managed IT in der Kanzlei ist also zulässig. Der Schlüssel liegt in der sauberen vertraglichen Verpflichtung, nicht im Verzicht auf externe Hilfe.

Dazu kommt die DSGVO. Ein Cloud-Anbieter ist Auftragsverarbeiter, es braucht einen Vertrag nach Art. 28. Liegen die Daten außerhalb der EU oder kann ein Anbieter außerhalb der EU darauf zugreifen, greifen zusätzlich die Regeln zum Drittlandtransfer (Art. 44 ff.). Genau hier wird es mit US-Diensten eng.

Warum US-Cloud ein Architekturproblem ist

Der US CLOUD Act von 2018 verpflichtet US-Anbieter, Daten auf Anordnung US-amerikanischer Behörden herauszugeben. Unabhängig davon, wo die Server stehen. Ein Rechenzentrum in Frankfurt schützt nicht, wenn der Betreiber dem US-Recht unterliegt. Microsoft, Google und Amazon tun das.

Der EU-US Data Privacy Framework von 2023 soll den Transfer rechtlich abfedern. Er ist die dritte Konstruktion dieser Art nach Safe Harbor und Privacy Shield, die beide vom Europäischen Gerichtshof gekippt wurden. Niemand kann seriös garantieren, dass der aktuelle Rahmen dauerhaft hält. Eine Kanzlei, die ihre gesamte Aktenhaltung darauf gründet, baut auf einem Fundament mit Verfallsdatum.

Die Aufsichtsbehörden sehen das kritisch. Die Datenschutzkonferenz kam in ihrer Festlegung vom 24. November 2022 zu dem Ergebnis, dass sich ein datenschutzkonformer Einsatz von Microsoft 365 auf Basis des von Microsoft vorgelegten Datenschutz-Nachtrags nicht belegen lasse (DSK, Festlegung vom 24.11.2022). Für Berufsgeheimnisträger verschärft sich die Lage zusätzlich, weil zur DSGVO die strafrechtliche Schweigepflicht hinzutritt. Auf europäischer Ebene hat der Rat der Anwaltschaften (CCBE) seine Cloud-Leitlinien am 27. Februar 2025 entsprechend nachgeschärft: Verschwiegenheit und die Prüfung auf extraterritorialen Behördenzugriff sind primäre Auswahlkriterien, nicht nachgelagerte Details.

Das Ergebnis ist keine eindeutige Verbotslage. Es ist eine Begründungslast. Wer US-Cloud für sensible Mandantsdaten nutzt, muss erklären können, warum das vertretbar ist. Und je sensibler die Daten, desto schwerer fällt diese Erklärung.

Wo unsere Rolle endet

Damit kein falscher Eindruck entsteht: Wir tauschen nicht Ihre Fachsoftware aus. DATEV betreibt eigene Rechenzentren in Deutschland, das beA der Bundesrechtsanwaltskammer und das beSt der Steuerberaterkammer sind vorgeschriebene Kanäle mit eigenem Sicherheitsregime. Diese Systeme bleiben, wo sie sind. Sie sind nicht das Problem.

Das Problem ist meistens die Schicht darum herum. Die Dateiablage. Die Fernwartung. Der Mailverkehr. Die KI, die plötzlich jemand im Team ausprobiert. Genau dort entscheidet sich, ob Mandantendaten im Haus bleiben oder unbemerkt zu einem US-Anbieter abfließen. Und genau dort setzen wir an.

Souveräne Bausteine

Für jede der typischen US-Cloud-Funktionen gibt es eine Alternative, die sich self-hosted oder in einem EU-Rechenzentrum betreiben lässt. Die Daten verlassen das Haus nicht.

Dateiablage und Zusammenarbeit. Nextcloud ersetzt Microsoft 365 und Google Workspace im Kern: Dateien, Kalender, Kontakte, Videokonferenzen, gemeinsames Bearbeiten von Dokumenten. Betrieb auf eigener Hardware oder in einer deutschen Cloud. Wer den Umstieg konkret durchspielen will, findet die Details auf unserer Nextcloud-Angebotsseite.

Fernwartung. Der Klassiker für Datenabfluss ist die Support-Software. RustDesk ist eine quelloffene Alternative zu TeamViewer und AnyDesk, deren Vermittlungsserver Sie selbst betreiben. Verbindungsdaten und Sitzungen laufen über Ihre eigene Infrastruktur, nicht über die Cloud eines Drittanbieters.

E-Mail-Archivierung. Aufbewahrungspflichten verlangen ein revisionssicheres Mailarchiv. MailStore archiviert ein- und ausgehende Mails GoBD-konform und durchsuchbar, im eigenen Haus statt im Postfach eines US-Anbieters.

Dokumentenarchiv. paperless-ngx macht aus Eingangspost und Belegen ein durchsuchbares Archiv mit OCR. Self-hosted, mit klaren Zugriffsrechten. Eingangsrechnungen, Bescheide und Korrespondenz bleiben auf Ihrem Server.

Sicherer Zugriff. Homeoffice und mobiles Arbeiten brauchen einen verschlüsselten Weg ins Kanzleinetz. NetBird baut auf WireGuard ein privates Netzwerk ohne offene Ports auf, mit zentral verwalteten Zugriffsregeln. Der Fernzugriff wird so dicht wie der Arbeitsplatz vor Ort.

Künstliche Intelligenz. KI ist in den Kanzleien angekommen, oft schneller als die Richtlinie dazu. Wer Mandantsdaten in einen öffentlichen Chatbot kippt, der damit trainiert, hat ein echtes Problem. Langdock bündelt führende Sprachmodelle hinter einer Oberfläche, gehostet in der EU, ohne Training auf Ihren Daten. So bleibt der Produktivitätsgewinn, ohne dass Akten abwandern.

Sicherheit und Nachweis. Enginsight ist eine Security-Plattform aus Jena, die on-premise laufen kann. Angriffserkennung, Schwachstellenmanagement und Protokollierung, ohne dass die Telemetrie die EU verlässt. Das ist zugleich die Basis, um gegenüber Versicherern oder im Rahmen von Lieferketten-Anforderungen einen Sicherheitsstatus zu belegen.

Nicht alles muss raus

Souveränität ist kein Selbstzweck und kein Glaubenskrieg. Manches bleibt sinnvollerweise beim etablierten Anbieter.

DATEV ist dafür das beste Beispiel. Die Daten liegen in deutschen Rechenzentren, der Anbieter unterliegt deutschem Recht, die Fachanwendungen sind ohne Alternative in den Arbeitsalltag eingewachsen. Hier gibt es keinen Grund für einen Wechsel. Auch ein einzelner US-Dienst kann vertretbar sein, wenn er keine Mandantsdaten verarbeitet und die Auftragsverarbeitung sauber geregelt ist.

Der Punkt ist nicht, jeden US-Anbieter zu verbannen. Der Punkt ist, bewusst zu entscheiden, welche Daten wohin dürfen, und das dokumentieren zu können. Das ist der Unterschied zwischen einer gewachsenen IT, die niemand mehr überblickt, und einer, die einem Audit standhält.

Ein gangbarer Weg

Der Umbau gelingt nicht über Nacht und muss es auch nicht. Eine pragmatische Reihenfolge:

1. Bestandsaufnahme. Welche Dienste sind im Einsatz, welche Daten laufen wohin, welche Verträge zur Auftragsverarbeitung liegen vor. Oft kommen dabei Tools zum Vorschein, die einzelne Mitarbeitende eigenmächtig nutzen.
2. Klassifizierung. Nicht jede Datei ist eine Akte. Wir trennen, was wirklich der Verschwiegenheit unterliegt, von dem, was unkritisch ist. Das fokussiert den Aufwand.
3. Die heikelsten Flüsse zuerst. Dort ansetzen, wo sensible Daten heute am offensten liegen. Meist ist das die Dateiablage oder die Fernwartung.
4. Ablösen statt Abreißen. Alternativen parallel aufbauen, migrieren, dann den Altdienst abschalten. Der Betrieb läuft die ganze Zeit weiter.
5. Dokumentieren. Verträge, Verzeichnis der Verarbeitungstätigkeiten, eine knappe interne Richtlinie für das Team. Das ist die Arbeit, die im Ernstfall zählt.

Wie wir das machen

Wir beginnen mit einem nüchternen Erstgespräch und einer Bestandsaufnahme, bevor wir irgendetwas empfehlen. Dann bauen wir die souveränen Bausteine dort ein, wo sie den größten Unterschied machen, und lassen den Rest in Ruhe, wo er gut funktioniert. Die vertragliche Verpflichtung nach § 203 StGB gehört für uns selbstverständlich dazu.

Einen Überblick, wie wir Kanzleien betreuen, haben wir auf einer eigenen Seite gebündelt: IT für Steuerberater & Anwaltskanzleien. Wenn Sie wissen wollen, wo Ihre Kanzlei steht, sprechen Sie uns an.