Erstgespräch vereinbaren
Alle Artikel
Compliance & Datenschutz 4. März 2026 10 Min. Lesezeit

Datensouveränität für Kanzleien: Ein praktischer Leitfaden

Was bedeutet Datensouveränität für Anwälte, Steuerberater und Wirtschaftsprüfer? Ein Leitfaden mit konkreten Maßnahmen - von der Cloud-Wahl bis zur On-Premise-KI.

Datensouveränität: Mehr als ein Buzzword

Der Begriff „Datensouveränität” taucht in jeder zweiten Produktbroschüre auf. Oft bleibt er vage - ein Verkaufsargument ohne klare Definition. Für Kanzleien ist er aber alles andere als abstrakt.

Datensouveränität bedeutet: Sie behalten die vollständige Kontrolle darüber, wo Ihre Daten gespeichert werden, wie sie verarbeitet werden und wer darauf zugreifen kann. Nicht der Cloud-Anbieter, nicht ein US-Konzern, nicht eine ausländische Behörde - sondern Sie.

Für Rechtsanwälte, Steuerberater und Wirtschaftsprüfer ist das keine Kür. Es ist die Voraussetzung, um Mandantengeheimnisse zu schützen und den Anforderungen des § 203 StGB gerecht zu werden.

Warum Datensouveränität für Kanzleien besonders wichtig ist

§ 203 StGB verlangt Kontrolle

Als Berufsgeheimnisträger machen Sie sich strafbar, wenn Mandantengeheimnisse unbefugten Dritten zugänglich werden. Jeder Cloud-Dienst, jedes KI-Tool, jeder externe Backup-Service ist ein potenzieller Dritter. Datensouveränität ist der Rahmen, der sicherstellt, dass aus „potenziell” kein „tatsächlich” wird.

Mandantenvertrauen ist Ihr Kapital

Mandanten vertrauen Ihnen ihre sensibelsten Informationen an: Steuerstrategien, Rechtsstreitigkeiten, Unternehmensbewertungen, persönliche Umstände. Dieses Vertrauen ist die Grundlage Ihrer Geschäftsbeziehung. Ein Datenschutzvorfall - oder auch nur der begründete Verdacht - kann es dauerhaft beschädigen.

Kammeranforderungen und Aufsicht

Rechtsanwaltskammern, Steuerberaterkammern und die Wirtschaftsprüferkammer stellen zunehmend konkrete Anforderungen an die IT-Sicherheit und den Umgang mit Cloud-Diensten. Datensouveränität ist der praktische Rahmen, um diese Anforderungen zu erfüllen - und im Prüfungsfall dokumentieren zu können.

Die vier Stufen der Datensouveränität

Nicht jeder Cloud-Dienst ist gleich riskant - und nicht jeder Anwendungsfall erfordert das höchste Schutzniveau. Die folgenden vier Stufen helfen Ihnen, Ihre IT-Landschaft systematisch einzuordnen.

Stufe 1: US-Cloud (niedrigstes Niveau)

Beispiele: ChatGPT (OpenAI), Google AI, Standard-Tarife vieler SaaS-Anbieter

  • Daten werden in den USA verarbeitet und gespeichert
  • Der Anbieter unterliegt dem CLOUD Act: US-Behörden können Herausgabe verlangen - auch für Daten auf EU-Servern
  • Eingaben werden häufig zum Training verwendet
  • Keine Verschwiegenheitsverpflichtung nach § 203 StGB

Bewertung für Kanzleien: Für Mandantendaten nicht geeignet. Allenfalls für rein interne, nicht-mandantenbezogene Aufgaben denkbar (z. B. allgemeine Recherche ohne Fallbezug).

Stufe 2: EU-Cloud mit Datenschutzvereinbarung (mittleres Niveau)

Beispiele: Claude Enterprise (Anthropic), Microsoft 365 mit EU-Datenresidenz, diverse EU-SaaS-Anbieter

  • Datenverarbeitung erfolgt in der EU
  • Ein Auftragsverarbeitungsvertrag (AVV/DPA) regelt die DSGVO-Konformität
  • Kein Training auf Kundendaten (vertraglich zugesichert)

Aber: Der Anbieter ist häufig ein US-Unternehmen - der CLOUD Act kann weiterhin greifen. Eine spezifische Verschwiegenheitsverpflichtung nach § 203 StGB ist oft nicht standardmäßig enthalten.

Bewertung für Kanzleien: DSGVO-konform, aber für § 203 StGB weiterhin riskant. Kann in bestimmten Fällen ausreichen, wenn zusätzliche vertragliche Maßnahmen getroffen werden.

Stufe 3: EU-Cloud mit garantierter Datenresidenz (hohes Niveau)

Beispiele: Claude via AWS Bedrock (Region Frankfurt), souveräne Cloud-Angebote europäischer Anbieter, DATEV-Cloud

  • Daten werden ausschließlich in der EU verarbeitet und gespeichert
  • Der Cloud-Betreiber ist ein EU-Unternehmen oder operiert unter einem vertraglich abgesicherten EU-Rechtsrahmen
  • Verschwiegenheitsverpflichtung nach § 203 StGB kann vereinbart werden
  • Kein Zugriff durch US-Behörden auf Basis des CLOUD Act

Bewertung für Kanzleien: In Kombination mit einer Verschwiegenheitsverpflichtung und technischen Schutzmaßnahmen grundsätzlich § 203-konform. Für die meisten Kanzleianwendungen die empfohlene Lösung.

Stufe 4: On-Premise (höchstes Niveau)

Beispiele: Open-Weight-Modelle (Llama, Mistral) auf eigener Hardware, lokale Server, Private-Cloud in eigener Infrastruktur

  • Daten verlassen nie Ihre Infrastruktur
  • Kein externer Anbieter hat Zugang
  • Vollständige Kontrolle über Hardware, Software und Zugriffsrechte
  • Unabhängigkeit von Anbieterpolitik und Gesetzesänderungen

Bewertung für Kanzleien: Das höchste Schutzniveau. Besonders geeignet für hochsensible Anwendungsfälle wie KI-gestützte Mandatsarbeit mit vertraulichen Dokumenten. Erfordert initiale Investition in Hardware und Know-how, ist aber langfristig oft wirtschaftlicher als Enterprise-Lizenzen.

Datensouveränität umsetzen: Fünf konkrete Schritte

Schritt 1: Bestandsaufnahme - Ihre aktuelle IT-Landschaft

Erstellen Sie eine vollständige Liste aller Dienste, über die Mandantendaten verarbeitet werden. Vergessen Sie dabei nicht:

  • E-Mail und Kalender
  • Dokumentenmanagement und Aktenverwaltung
  • Backup-Lösungen und Cloud-Speicher
  • Kommunikationstools (Videokonferenzen, Messenger)
  • KI-Tools (auch privat genutzte auf Dienstgeräten)
  • Mobile Geräte und deren Synchronisation

Schritt 2: Daten nach Sensibilität klassifizieren

Nicht alle Daten sind gleich schützenswert. Eine pragmatische Klassifizierung:

  • Hoch: Mandantengeheimnisse, Schriftsätze, Steuererklärungen, Vertragsentwürfe, M&A-Unterlagen
  • Mittel: Interne Kanzleiorganisation mit Mandantenbezug (Abrechnungen, Fristen)
  • Niedrig: Allgemeine Informationen ohne Mandantenbezug (Marketing, allgemeine Rechtsrecherche)

Schritt 3: Das richtige Niveau pro Anwendungsfall wählen

Ordnen Sie jeder Datenkategorie eine Stufe der Datensouveränität zu:

  • Hohe Sensibilität → Stufe 3 (EU-Cloud mit Datenresidenz) oder Stufe 4 (On-Premise)
  • Mittlere Sensibilität → Mindestens Stufe 2 (EU-Cloud mit DPA), besser Stufe 3
  • Niedrige Sensibilität → Stufe 2 ist in der Regel ausreichend

Schritt 4: Technische und vertragliche Maßnahmen umsetzen

Für jeden Dienst, der Mandantendaten verarbeitet:

  • Verschwiegenheitsverpflichtung nach § 203 Abs. 3 StGB einholen
  • Verschlüsselung prüfen (at rest, in transit, Ende-zu-Ende)
  • Zugriffsrechte restriktiv konfigurieren (Prinzip der minimalen Berechtigung)
  • Audit-Logs aktivieren
  • Subunternehmer-Listen anfordern und prüfen

Schritt 5: Dokumentation für Kammer und Aufsicht

Halten Sie Ihre Maßnahmen schriftlich fest:

  • Verzeichnis aller eingesetzten Cloud-Dienste mit Risikobewertung
  • Verschwiegenheitsvereinbarungen geordnet ablegen
  • Technische Maßnahmen dokumentieren
  • Regelmäßige Überprüfung einplanen (mindestens jährlich)

Diese Dokumentation schützt Sie bei Kammer-Prüfungen und zeigt, dass Sie Ihre Sorgfaltspflichten ernst nehmen.

Was kostet Datensouveränität?

Eine berechtigte Frage. Die ehrliche Antwort: Datensouveränität ist nicht kostenlos, aber günstiger als viele denken.

  • Stufe 3 (EU-Cloud mit Datenresidenz) kostet in der Regel 10-30 % mehr als Standard-Cloud-Dienste. Bei einem KI-Tool können das 50-100 Euro pro Nutzer und Monat sein.
  • Stufe 4 (On-Premise) erfordert eine initiale Investition in Hardware (5.000-25.000 Euro je nach Anforderung) und Setup. Dafür entfallen monatliche Lizenzgebühren, und die laufenden Kosten (Strom, Wartung) sind überschaubar.

Setzen Sie diese Kosten in Relation: Ein einzelner Compliance-Verstoß, eine Kammer-Rüge oder - im schlimmsten Fall - ein Strafverfahren kostet ein Vielfaches. Von dem Mandantenverlust durch einen Vertrauensschaden ganz zu schweigen.

Datensouveränität ist keine Ausgabe. Sie ist eine Investition in das Fundament Ihrer Kanzlei.

Fazit: Datensouveränität ist machbar

Datensouveränität klingt nach einem großen Projekt. In der Praxis lässt sie sich aber schrittweise umsetzen - angefangen bei den Diensten mit dem höchsten Risiko, fortschreitend bis zur vollständigen Absicherung.

Der wichtigste erste Schritt: Wissen, wo Sie stehen. Eine systematische Bestandsaufnahme Ihrer IT-Landschaft zeigt Ihnen, wo Handlungsbedarf besteht - und wo Sie möglicherweise bereits gut aufgestellt sind.

Wir begleiten Kanzleien von der Bestandsaufnahme bis zur Umsetzung. Erfahren Sie mehr über unsere Datensouveränitäts-Beratung oder lassen Sie uns gemeinsam die KI-Einführung in Ihrer Kanzlei planen - von Anfang an rechtskonform.

Datensouveränität Kanzlei On-Premise EU-Cloud Leitfaden

Wie kann KI Ihrer Kanzlei helfen?

In 30 Minuten finden wir gemeinsam heraus, welche Aufgaben Sie sofort automatisieren können. Kostenlos, unverbindlich - und ehrlich.

Kostenloses Erstgespräch vereinbaren