DSGVO-Checkliste für Kanzleien: Datenschutz sicher umsetzen und Haftungsrisiken vermeiden

Datenschutz ist für Kanzleien keine optionale Formalität, sondern eine rechtliche Pflicht und ein zentraler Bestandteil professioneller Mandatsarbeit.
Die DSGVO verlangt nachvollziehbare Prozesse, technische Absicherung im Rahmen eines technisch sauberen SEO-Fundaments für Kanzleien und klare Zuständigkeiten – unabhängig von Kanzleigröße oder Fachgebiet.

Was die DSGVO für Kanzleien konkret bedeutet

Die Datenschutz-Grundverordnung gilt für jede Kanzlei, die personenbezogene Daten verarbeitet. Dazu zählen Mandantendaten, Kommunikationsinhalte, Abrechnungen, Bewerbungen sowie Mitarbeiterdaten. Maßgeblich ist nicht die Menge der Daten, sondern deren Personenbezug und Sensibilität.

Ziel der DSGVO ist es, die Rechte der Betroffenen zu schützen und Datenverarbeitung transparent, sicher und zweckgebunden zu gestalten. Kanzleien müssen jederzeit nachvollziehen können, welche Daten warum verarbeitet werden und wie sie geschützt sind.

Ein strukturierter Datenschutzprozess ist daher nicht nur Pflicht, sondern Ausdruck von Professionalität und Compliance.

Warum jede Kanzlei von der DSGVO betroffen ist

Die DSGVO gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten. Sie unterscheidet nicht zwischen großen Einheiten und kleinen Kanzleien. Auch Einzelkanzleien müssen nachweisen können, dass sie personenbezogene Daten rechtskonform verarbeiten.

Gerade Kanzleien tragen eine besondere Verantwortung, da sie regelmäßig mit hochsensiblen Informationen arbeiten – etwa Steuerdaten, Vertragsinhalten oder vertraulicher Korrespondenz. Datenschutz ist hier keine Randfrage, sondern Teil der beruflichen Sorgfalt.

Verantwortung und Zuständigkeiten in der Kanzlei

Verantwortlich für die Einhaltung der DSGVO ist stets die Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet. In der Praxis ist das die Kanzleileitung. Sie trägt die Gesamtverantwortung und haftet bei Verstößen.

Innerhalb der Kanzlei sollten Zuständigkeiten klar geregelt sein:

• Wer pflegt die Datenschutz-Dokumentation?
• Wer überwacht Löschfristen und Zugriffsrechte?
• Wer ist Ansprechpartner bei Anfragen von Mandanten oder Aufsichtsbehörden?

Klare Verantwortlichkeiten reduzieren Fehler und erleichtern den Nachweis der Compliance.

Welche personenbezogenen Daten Kanzleien verarbeiten

Im Kanzleialltag werden zahlreiche Datenarten verarbeitet, unter anderem:

• Stammdaten wie Namen, Adressen und Kontaktdaten
• Finanz- und Steuerinformationen
• Vertrags- und Mandatsunterlagen
• Kommunikationsdaten (E-Mails, Schriftsätze, Telefonnotizen)
• Mitarbeiter- und Bewerberdaten

Die Verarbeitung darf nur zu legitimen Zwecken erfolgen, etwa zur Mandatsbearbeitung oder zur Erfüllung gesetzlicher Pflichten. Zudem gilt das Prinzip der Datenminimierung: Es dürfen nur Daten erhoben werden, die tatsächlich erforderlich sind.

Ebenso wichtig sind definierte Löschfristen, damit Daten nicht länger gespeichert werden als nötig.

Das Verzeichnis der Verarbeitungstätigkeiten als Pflichtdokument

Nach Art. 30 DSGVO ist jede Kanzlei verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Dokument beschreibt strukturiert, welche Daten verarbeitet werden, zu welchem Zweck und mit welchen Schutzmaßnahmen.

Ein vollständiges Verzeichnis enthält unter anderem:

• Name und Kontaktdaten der Kanzlei
• Zwecke und Rechtsgrundlagen der Verarbeitung
• Kategorien betroffener Personen und Daten
• Empfänger wie IT-Dienstleister oder Softwareanbieter
• Löschfristen
• Technische und organisatorische Maßnahmen

Das Verzeichnis muss auf Anfrage der Aufsichtsbehörde vorgelegt werden können und sollte regelmäßig aktualisiert werden.

Datenschutzbeauftragter: Pflicht oder Empfehlung?

Nicht jede Kanzlei ist verpflichtet, einen Datenschutzbeauftragten zu benennen. Nach dem BDSG-neu ist dies erforderlich, wenn mindestens zehn Personen regelmäßig personenbezogene Daten automatisiert verarbeiten oder besonders sensible Daten verarbeitet werden.

Unabhängig von der gesetzlichen Pflicht kann ein externer Datenschutzbeauftragter sinnvoll sein. Er unterstützt bei der Umsetzung der DSGVO, überprüft Prozesse, schult Mitarbeitende und fungiert als Ansprechpartner für Behörden.

Technische und organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen bilden das Rückgrat des Datenschutzes. Sie regeln, wie Systeme, Zugriffe und Prozesse abgesichert sind.

Voraussetzung dafür ist ein professionelles Kanzlei-Webdesign, das technische Sicherheit, klare Strukturen und datenschutzkonforme Einbindungen von Anfang an berücksichtigt.

Typische Maßnahmen sind:

• Verschlüsselung sensibler Daten und Kommunikation
• rollenbasierte Zugriffsbeschränkungen
• Regelmäßige Backups und Datensicherungen
• Sichere E-Mail und Hosting-Lösungen
• Schulungen der Mitarbeitenden
• Absicherung von Endgeräten und Serverräumen

Die Maßnahmen müssen angemessen zum Risiko sein. Entscheidend ist nicht die Komplexität, sondern die Dokumentation und konsequente Umsetzung.

Bei externen Dienstleistern ist zudem ein Vertrag zur Auftragsverarbeitung erforderlich.

Umsetzung der Betroffenenrechte

Die DSGVO stärkt die Rechte der betroffenen Personen. Mandanten, Mitarbeitende oder Bewerber haben Anspruch auf Auskunft, Berichtigung und Löschung ihrer Daten.

Kanzleien müssen sicherstellen, dass entsprechende Anfragen innerhalb der gesetzlichen Fristen – in der Regel innerhalb eines Monats – bearbeitet werden können. Ein klar definierter Ablauf erleichtert die rechtssichere Umsetzung und Dokumentation.

Umgang mit Datenpannen

Trotz aller Vorsichtsmaßnahmen können Datenschutzvorfälle auftreten, etwa durch Fehlversand von E-Mails oder den Verlust von Geräten. In solchen Fällen greift die Meldepflicht nach Art. 33 DSGVO.

Besteht ein Risiko für die Rechte der Betroffenen, muss der Vorfall innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Bei erheblichem Risiko sind auch die Betroffenen zu informieren. Ein internes Verfahren zur Bewertung und Meldung von Datenpannen sollte daher festgelegt sein.

Sanktionen und Reputationsrisiken

Verstöße gegen die DSGVO können erhebliche Bußgelder nach sich ziehen – bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. Hinzu kommen mögliche Abmahnungen und ein nachhaltiger Vertrauensverlust bei Mandanten.

Regelmäßige Überprüfung, Dokumentation und Schulung sind daher nicht nur gesetzliche Pflicht, sondern auch ein Beitrag zur Kanzlei-Reputation.

Was DSGVO-Compliance für Kanzleien bedeutet

Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Compliance-Prozess. Kanzleien, die ihre Datenschutzpflichten strukturiert umsetzen, schützen sich vor Haftungsrisiken und stärken gleichzeitig das Vertrauen ihrer Mandanten. Eine klare Organisation, dokumentierte Prozesse und technische Sicherheit bilden dafür die Grundlage.

DSGVO-Checkliste für Kanzleien

1. Verzeichnis der Verarbeitungstätigkeiten führen
Dokumentieren Sie alle Prozesse, bei denen personenbezogene Daten verarbeitet werden – inklusive Zweck, Rechtsgrundlage, Empfänger und Löschfristen.

2. Datenschutzbeauftragte prüfen oder benennen
Ab zehn Mitarbeitenden, die regelmäßig Daten verarbeiten, ist ein Datenschutzbeauftragter gesetzlich vorgeschrieben (§ 38 BDSG‑neu). In vielen Fällen empfiehlt sich auch freiwillig ein externer Datenschutzbeauftragter.

3. Auftragsverarbeitungsverträge abschließen
Wenn externe Dienstleister wie IT-Support, Hosting oder Cloud-Systeme eingebunden sind, muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO bestehen.

4. Technische und organisatorische Maßnahmen (TOM) umsetzen
Sorgen Sie für angemessene IT-Sicherheit: Zugriffsschutz, Verschlüsselung, regelmäßige Datensicherung, Rollen- und Rechtekonzepte.

5. Lösch- und Aufbewahrungsfristen definieren
Legen Sie fest, wie lange personenbezogene Daten aufbewahrt werden – und löschen Sie diese nach Ablauf der Frist oder wenn der Zweck entfällt.

6. Betroffenenrechte gewährleisten
Mandanten, Mitarbeitende oder Bewerber haben Rechte auf Auskunft, Berichtigung und Löschung. Stellen Sie sicher, dass solche Anfragen fristgerecht bearbeitet und dokumentiert werden.

7. Datenpannen-Prozess definieren
Richten Sie ein internes Verfahren ein, um Datenschutzverletzungen zu erkennen, zu bewerten und innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden (Art. 33 DSGVO).

8. Mitarbeitende regelmäßig schulen
Sensibilisieren Sie Ihr Team für Datenschutz, Verschwiegenheit und sichere Kommunikation – insbesondere bei E-Mails, Aktenzugriffen und Cloud-Diensten.

9. Datenschutzerklärung und Cookie-Banner prüfen
Ihre Kanzlei-Website muss eine aktuelle, DSGVO-konforme Datenschutzerklärung enthalten und die Einwilligung für Cookies korrekt einholen.

10. Datenschutz regelmäßig überprüfen und dokumentieren
Führen Sie interne Audits oder Selbstkontrollen durch, um die Einhaltung der DSGVO dauerhaft sicherzustellen.

11. Mandatsbezogene Zugriffskonzepte festlegen
Stellen Sie sicher, dass nur diejenigen Mitarbeitenden Zugriff auf Mandatsdaten haben, die diesen für ihre Tätigkeit benötigen. Zugriffsrechte sollten rollenbasiert vergeben und regelmäßig überprüft werden.

12. E-Mail und Kommunikationssicherheit regeln
Definieren Sie klare Regeln für den Versand sensibler Informationen. Dazu gehören sichere E-Mail-Konfigurationen, Verschlüsselung bei vertraulichen Inhalten und ein bewusster Umgang mit Anhängen und Empfängern.

13. Homeoffice und mobiles Arbeiten absichern
Regeln Sie verbindlich, wie im Homeoffice oder unterwegs mit Mandantendaten gearbeitet wird. VPN-Zugänge, Geräteschutz, Bildschirmsperren und organisatorische Vorgaben sind dabei unerlässlich.

14. Private Geräte (BYOD) klar regeln
Falls private Geräte genutzt werden, muss eindeutig festgelegt sein, ob und wie Mandantendaten darauf verarbeitet werden dürfen. Ohne klare Regelung entsteht ein erhöhtes Datenschutzrisiko.

15. Passwortrichtlinien und Zugriffsschutz definieren
Legen Sie verbindliche Passwortrichtlinien fest und setzen Sie – wo möglich – eine Zwei-Faktor-Authentifizierung ein. Gemeinsame Log-ins oder geteilte Zugangsdaten sind zu vermeiden.

16. Kanzleisoftware und Fachanwendungen regelmäßig prüfen
Überprüfen Sie, ob eingesetzte Kanzlei-, Dokumentenmanagement- oder Fachanwendungen datenschutzkonform betrieben werden und ob die erforderlichen Auftragsverarbeitungsverträge vorliegen.

17. Cloud- und Speicherlösungen datenschutzkonform einsetzen
Stellen Sie sicher, dass Cloud-Dienste, Dateiablagen und Backups DSGVO-konform betrieben werden. Speicherorte, Zugriffsrechte und Verschlüsselung sollten dokumentiert sein.

18. Datensicherungen (Backups) regelmäßig testen
Backups müssen nicht nur vorhanden sein, sondern auch funktionieren. Testen Sie regelmäßig die Wiederherstellung und dokumentieren Sie die Ergebnisse.

19. Löschkonzepte technisch umsetzen
Definierte Löschfristen müssen auch technisch eingehalten werden. Prüfen Sie, ob Daten in E-Mails, Archiven und Systemen nach Fristablauf tatsächlich entfernt werden.

20. Umgang mit ehemaligen Mitarbeitenden regeln
Beim Ausscheiden von Mitarbeitenden sollten alle Zugänge gesperrt, Geräte zurückgegeben und gespeicherte Daten überprüft werden.

21. Bewerberdaten datenschutzkonform verwalten
Bewerbungsunterlagen dürfen nur so lange gespeichert werden, wie sie für den Bewerbungsprozess erforderlich sind. Legen Sie klare Löschfristen oder Einwilligungsprozesse fest.

22. Mandanten transparent über Datenverarbeitung informieren
Stellen Sie sicher, dass Mandanten klar, verständlich und aktuell über Art und Zweck der Datenverarbeitung informiert werden. Datenschutzhinweise sollten leicht auffindbar sein.

23. Zusammenarbeit mit externen Kanzleien oder Partnern regeln
Bei Kooperationen oder Vertretungen muss eindeutig festgelegt sein, wie personenbezogene Daten weitergegeben werden und wer datenschutzrechtlich verantwortlich ist.

24. Datenschutz-Folgenabschätzung (DSFA) prüfen und dokumentieren
Prüfen Sie bei neuen IT-Systemen oder sensiblen Verarbeitungsvorgängen, ob eine DSFA erforderlich ist. Auch eine negative Entscheidung sollte dokumentiert werden.

25. Datenschutzvorfälle intern dokumentieren
Führen Sie ein internes Register für Datenschutzvorfälle – auch dann, wenn keine Meldepflicht besteht. Das schafft Nachvollziehbarkeit und Routine.

26. Regelmäßige Datenschutz-Selbstprüfungen durchführen
Planen Sie feste Zeitpunkte für interne Datenschutzprüfungen ein. Überprüfen Sie Prozesse, aktualisieren Sie Dokumente und halten Sie die Ergebnisse schriftlich fest.

---

Hinweis:
Diese Checkliste enthält die wichtigsten Punkte für Kanzleien – sie ersetzt jedoch keine vollständige Datenschutz-Analyse.
Jede Kanzlei hat individuelle Strukturen und Verantwortlichkeiten, die im Rahmen eines Datenschutzkonzepts detailliert geprüft werden sollten.

Häufige Fragen

Die folgenden Antworten bieten Orientierung zu DSGVO-Checkliste für Kanzleien: Datenschutz sicher umsetzen und Haftungsrisiken vermeiden und angrenzenden Aspekten.

Haftungshinweis / rechtliche Einordnung

Dieser Beitrag wurde mit größter Sorgfalt erstellt und spiegelt meine fachliche Einschätzung als Webdesigner wider. Die Inhalte dienen ausschließlich der allgemeinen Information und ersetzen keine rechtliche Beratung im Sinne des Rechtsdienstleistungsgesetzes (RDG).

Ich übernehme keine Haftung für Vollständigkeit, Richtigkeit oder Aktualität der dargestellten Informationen. Jede Kanzlei hat individuelle Anforderungen, die im Einzelfall abweichen können.

Für eine verbindliche rechtliche Prüfung oder Umsetzung Ihrer Datenschutz- und Compliance-Pflichten wenden Sie sich bitte an:

• Ihren Datenschutzbeauftragten
• einen spezialisierten Rechtsanwalt für Datenschutzrecht
• oder die zuständige Aufsichtsbehörde Ihres Bundeslandes