Wissen aus der Praxis · Datenschutz

DSGVO für Kanzleien: Pflichten und Checkliste 2026

Mandantendaten gehören zu den sensibelsten Daten überhaupt. Dieser Leitfaden zeigt, welche Datenschutzpflichten für Kanzleien gelten und wie Sie sie im Alltag erfüllen.

Kostenloses Erstgespräch

Kanzleien verarbeiten besonders sensible Mandantendaten und unterliegen neben der DSGVO der berufsrechtlichen Verschwiegenheit (§ 203 StGB). Dieser Leitfaden fasst die wichtigsten Pflichten zusammen und liefert eine Checkliste für die Umsetzung im Kanzleialltag.

Die zentralen Pflichten

  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Dokumentieren, welche Daten zu welchem Zweck verarbeitet werden.
  • Technische und organisatorische Maßnahmen (TOM): Zugriffsschutz, Verschlüsselung, Vertraulichkeit technisch absichern.
  • Auftragsverarbeitung (AVV): Mit jedem IT-, Cloud- und Aktenvernichtungsdienstleister einen Vertrag nach Art. 28 DSGVO schließen.
  • Betroffenenrechte: Auskunft, Berichtigung und Löschung fristgerecht beantworten, im Einklang mit Aufbewahrungspflichten.
  • Meldepflicht bei Datenpannen: Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die Aufsichtsbehörde melden.
  • Datenschutz-Folgenabschätzung (DSFA): Bei voraussichtlich hohem Risiko, etwa neuen Kanzlei-IT-Systemen, vorab durchführen.
  • Externer Datenschutzbeauftragter: Pflicht, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung beschäftigt sind (§ 38 BDSG).

Checkliste für die Kanzlei

  1. VVT erstellt und aktuell gehalten?
  2. AVV mit allen externen Dienstleistern abgeschlossen?
  3. Verschlüsselung für E-Mail-Versand und mobile Geräte aktiv?
  4. Rollen- und Berechtigungskonzept für die Kanzlei-Software vorhanden?
  5. Prozess für Betroffenenanfragen und Datenpannen definiert?
  6. Mitarbeitende auf Verschwiegenheit und Datenschutz geschult?
  7. Prüfung, ob ein Datenschutzbeauftragter zu bestellen ist, dokumentiert?

Häufige Fragen

Gilt die Verschwiegenheitspflicht zusätzlich zur DSGVO?

Ja. Die berufsrechtliche Verschwiegenheit nach § 203 StGB gilt neben der DSGVO. Beide stellen Anforderungen an Technik und Organisation, etwa an Verschlüsselung und Zugriffsschutz für Mandantendaten.

Ab wann braucht eine Kanzlei einen Datenschutzbeauftragten?

In der Regel, sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig davon kann eine Bestellung sinnvoll sein, um Pflichten sauber zu erfüllen.

Dürfen Kanzleien Microsoft 365 oder Cloud-Dienste nutzen?

Grundsätzlich ja, wenn ein Auftragsverarbeitungsvertrag besteht, die Konfiguration datenschutzkonform ist und die Verschwiegenheit gewahrt bleibt. Die konkrete Ausgestaltung sollte geprüft und dokumentiert werden.

Hinweis: Dieser Leitfaden ist eine allgemeine Orientierung und ersetzt keine individuelle Rechts- oder Fachberatung. Für Ihren konkreten Fall sprechen wir das am besten persönlich durch.