Erstgespräch vereinbaren
Alle Artikel
Compliance & Datenschutz 7. März 2026 9 Min. Lesezeit

§ 203 StGB und Cloud-Dienste: Was Kanzleien wissen müssen

Cloud-Dienste sind aus dem Kanzleialltag nicht mehr wegzudenken. Aber was sagt § 203 StGB dazu? Ein praktischer Leitfaden für Berufsgeheimnisträger.

Cloud in der Kanzlei: Komfort trifft Strafrecht

Cloud-Dienste haben den Kanzleialltag grundlegend verändert. E-Mails laufen über Microsoft 365, Dokumente liegen in der DATEV-Cloud, Mandantenbesprechungen finden per Teams oder Zoom statt. Das ist effizient, modern - und strafrechtlich heikel.

Denn für Rechtsanwälte, Steuerberater und Wirtschaftsprüfer gelten andere Regeln als für ein normales Unternehmen. Wer als Berufsgeheimnisträger Cloud-Dienste einsetzt, muss sicherstellen, dass § 203 StGB nicht verletzt wird. Dieser Artikel erklärt, worauf es ankommt - und wie Sie Cloud-Dienste rechtskonform nutzen.

§ 203 StGB: Was das Gesetz schützt

In einfacher Sprache

§ 203 StGB schützt das Berufsgeheimnis. Alles, was Ihnen ein Mandant anvertraut - ob Sachverhalt, Strategie, Geschäftszahlen oder persönliche Umstände - darf nicht an unbefugte Dritte weitergegeben werden. Das gilt unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht.

Wer dagegen verstößt, begeht eine Straftat. Keine Ordnungswidrigkeit, keine Abmahnung - ein Straftatbestand mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe.

Für wen gilt § 203 StGB?

Das Gesetz erfasst unter anderem:

  • Rechtsanwälte und Rechtsanwältinnen
  • Steuerberater und Steuerberaterinnen
  • Wirtschaftsprüfer und Wirtschaftsprüferinnen
  • Patent- und Notaranwälte
  • Sowie deren Mitarbeiter und Auszubildende

Entscheidend: Auch wer als Kanzleileitung die Nutzung eines Cloud-Dienstes anordnet oder duldet, kann sich strafbar machen - selbst wenn die eigentliche Eingabe durch Mitarbeiter erfolgt.

Die Reform von 2017: Warum Cloud überhaupt möglich wurde

Vor 2017 war die Rechtslage für Cloud-Dienste in Kanzleien praktisch unbrauchbar. Jeder externe Dienstleister, der Zugang zu Mandantendaten haben konnte, war ein potenzielles Strafbarkeitsrisiko.

§ 203 Abs. 3: Die Rolle der „sonstigen Mitwirkenden”

Mit der Reform wurde der Begriff der „sonstigen mitwirkenden Personen” eingeführt. Externe Dienstleister - auch Cloud-Anbieter - können nun unter bestimmten Voraussetzungen eingesetzt werden, ohne dass eine strafbare Offenbarung vorliegt.

Die Voraussetzungen:

  1. Der Dienstleister muss zur Verschwiegenheit verpflichtet werden
  2. Die Einschaltung muss erforderlich sein (im Rahmen der beruflichen Tätigkeit)
  3. Der Berufsgeheimnisträger muss den Dienstleister sorgfältig auswählen und überwachen

Das klingt einfach. In der Praxis wird es bei Cloud-Diensten schnell komplex.

Welche Cloud-Dienste sind betroffen?

Praktisch jeder Cloud-Dienst, über den Mandantendaten verarbeitet werden, fällt unter § 203 StGB. Konkret betrifft das:

  • E-Mail-Dienste: Microsoft 365, Google Workspace, gehostete Exchange-Server
  • Dokumentenmanagement (DMS): Cloud-basierte Aktenverwaltung, SharePoint
  • Backup und Speicher: OneDrive, Dropbox, iCloud, NAS mit Cloud-Sync
  • Videokonferenzen: Teams, Zoom, Google Meet - sobald Mandanteninhalte besprochen werden
  • KI-Tools: ChatGPT, Claude, Copilot - sobald Mandantendaten eingegeben werden
  • Branchensoftware: DATEV-Cloud, RA-MICRO Cloud, Lexware

Auch scheinbar harmlose Dienste können problematisch sein: Ein automatisches iPhone-Backup, das Mandanten-SMS in die iCloud überträgt, ist bereits eine potenzielle Offenbarung.

Das Prüfschema: Vier Fragen für jeden Cloud-Dienst

Bevor Sie einen Cloud-Dienst in Ihrer Kanzlei einsetzen, sollten Sie vier zentrale Fragen klären:

1. Wo werden die Daten verarbeitet?

  • EU/EWR: Grundsätzlich vorzuziehen. Unterliegt der DSGVO und europäischen Datenschutzstandards.
  • USA: Problematisch. Trotz EU-US Data Privacy Framework bleiben Risiken durch den CLOUD Act, der US-Behörden Zugriff auf Daten US-amerikanischer Unternehmen erlaubt - auch wenn die Server in der EU stehen.
  • Drittstaaten: In der Regel nicht akzeptabel für Berufsgeheimnisträger.

2. Wer hat Zugang zu den Daten?

Nicht nur der Cloud-Anbieter selbst ist relevant. Fragen Sie nach:

  • Subunternehmern (Sub-Processors), die Daten im Auftrag verarbeiten
  • Support-Mitarbeitern mit potenziellem Zugang
  • Behörden, die nach lokalem Recht Zugriff verlangen können

3. Ist der Anbieter zur Verschwiegenheit verpflichtet?

Eine Standard-Datenschutzvereinbarung (DPA) reicht nicht aus. Für § 203 StGB brauchen Sie eine explizite Verschwiegenheitsverpflichtung nach § 203 Abs. 3 S. 2 StGB. Der Anbieter und alle seine Mitarbeiter mit Datenzugang müssen zur Geheimhaltung verpflichtet sein.

4. Welche technischen Schutzmaßnahmen gibt es?

  • Verschlüsselung: Werden Daten at rest und in transit verschlüsselt? Wer hält die Schlüssel?
  • Zugriffskontrollen: Kann der Anbieter im Klartext auf Ihre Daten zugreifen?
  • Mandantentrennung: Sind Ihre Daten logisch oder physisch von anderen Kunden getrennt?
  • Löschkonzept: Werden Daten nach Vertragsende vollständig gelöscht?

Praxischeck: Gängige Cloud-Dienste im § 203-Test

Microsoft 365

Microsoft bietet EU-Datenresidenz und umfangreiche Compliance-Dokumentation. Dennoch bleibt das Risiko: Microsoft ist ein US-Unternehmen und unterliegt dem CLOUD Act. Für den Einsatz in Kanzleien empfehlen viele Kammern eine zusätzliche Verschlüsselungslösung und eine individuelle Verschwiegenheitsverpflichtung - die Microsoft in der Standardkonfiguration nicht anbietet.

DATEV-Cloud

DATEV ist als Genossenschaft der steuerberatenden Berufe ein Sonderfall. Die Datenverarbeitung erfolgt ausschließlich in Deutschland, und DATEV hat sich historisch an den Anforderungen des Berufsgeheimnisses orientiert. Für Steuerberater oft die risikoärmste Option - prüfen Sie dennoch die aktuelle Vertragslage.

Google Workspace

Google verarbeitet Daten weltweit und nutzt sie zur Produktverbesserung. Trotz verfügbarer EU-Datenresidenz und DPA ist der Einsatz für Mandantendaten problematisch. Eine § 203-konforme Verschwiegenheitsverpflichtung ist in der Standardkonfiguration nicht vorgesehen.

KI-Tools (ChatGPT, Claude, Copilot)

Die größte Herausforderung. Bei den meisten KI-Tools werden Eingaben an externe Server übermittelt, teilweise zum Training verwendet und von Support-Teams eingesehen. Für den Einsatz mit Mandantendaten kommen nur Lösungen infrage, die EU-Datenresidenz, Verschlüsselung und eine Verschwiegenheitsverpflichtung bieten - oder On-Premise betrieben werden.

So machen Sie Cloud-Dienste § 203-konform

Vertragliche Maßnahmen

  1. Verschwiegenheitsverpflichtung nach § 203 Abs. 3 S. 2 StGB - nicht nur eine DSGVO-DPA
  2. Subunternehmer-Klausel: Verpflichtung, dass auch Sub-Processors zur Verschwiegenheit verpflichtet werden
  3. Audit-Rechte: Das Recht, die Einhaltung der Vereinbarung zu überprüfen
  4. Löschpflichten: Klare Regelungen zur Datenlöschung nach Vertragsende

Technische Maßnahmen

  1. Ende-zu-Ende-Verschlüsselung oder kundenseitige Schlüsselverwaltung (BYOK/HYOK)
  2. Zero-Knowledge-Architektur wo möglich - der Anbieter kann Ihre Daten nicht im Klartext lesen
  3. Multi-Faktor-Authentifizierung für alle Zugänge
  4. Netzwerksegmentierung und restriktive Zugriffsrechte

Die Rolle der Kammer

Die Rechtsanwaltskammern (RAK), Steuerberaterkammern (StBK) und die Wirtschaftsprüferkammer (WPK) geben regelmäßig Hinweise zur Cloud-Nutzung. Einige Kammern haben eigene Prüfkataloge veröffentlicht, an denen Sie sich orientieren können.

Wichtig: Im Zweifelsfall ist eine proaktive Abstimmung mit Ihrer Kammer ratsam. Dies dokumentiert Ihre Sorgfalt und schützt Sie bei einer eventuellen Prüfung.

Fazit: Cloud ja - aber mit Augenmaß

Cloud-Dienste in der Kanzlei sind kein Tabu. Sie erfordern aber eine bewusstere Herangehensweise als in anderen Branchen. Das Prüfschema - Standort, Zugang, Verschwiegenheit, Technik - gibt Ihnen einen klaren Rahmen.

Wenn Sie unsicher sind, welche Ihrer Cloud-Dienste den Anforderungen genügen, unterstützen wir Sie gerne. Unsere Datensouveränitäts-Beratung hilft Ihnen, Ihre IT-Landschaft systematisch zu bewerten und rechtskonforme Lösungen zu finden - pragmatisch und ohne unnötige Panikmache.

§ 203 StGB Cloud Berufsgeheimnis Compliance Kanzlei

Wie kann KI Ihrer Kanzlei helfen?

In 30 Minuten finden wir gemeinsam heraus, welche Aufgaben Sie sofort automatisieren können. Kostenlos, unverbindlich - und ehrlich.

Kostenloses Erstgespräch vereinbaren