Inhaltsverzeichnis
1. Was bedeutet die DSGVO für Kanzleien konkret?
Die DSGVO gilt für jede Kanzlei, die personenbezogene Daten verarbeitet – also Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Dazu zählen Mandantendaten, Kommunikationsverläufe, Abrechnungen, Bewerbungen oder Mitarbeiterdaten.
Ziel der Verordnung ist es, die Rechte der Betroffenen zu schützen und die Datenverarbeitung nachvollziehbar zu machen.
Das bedeutet: Jede Kanzlei muss sicherstellen, dass Daten rechtmäßig, zweckgebunden, sicher und transparent verarbeitet werden.
Ein klarer Datenschutzprozess ist nicht nur Pflicht, sondern auch Ausdruck von Professionalität und Compliance. Kanzleien, die den Datenschutz ernst nehmen, stärken damit das Vertrauen ihrer Mandanten.
2. Seit wann gilt die DSGVO – und warum betrifft sie jede Kanzlei?
Die Datenschutz-Grundverordnung ist seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten verbindlich. Seit diesem Datum sind alle Unternehmen, Kanzleien und Organisationen verpflichtet, ihre Prozesse an die Vorgaben der DSGVO anzupassen.
Die DSGVO gilt unabhängig von Kanzleigröße oder Fachgebiet.
Selbst kleine Einheiten mit wenigen Mitarbeitenden müssen nachweisen können, dass sie personenbezogene Daten verarbeitet und geschützt haben.
Gerade Kanzleien mit sensiblen Mandatsdaten – etwa Steuerunterlagen, Vertragsdetails oder vertraulichen Korrespondenzen – haben eine besondere Verantwortung, Datenschutz strukturiert umzusetzen.
3. Wer ist in der Kanzlei für den Datenschutz verantwortlich?
Verantwortlich ist immer die Stelle, die über die Zwecke und Mittel der Datenverarbeitung entscheidet – also in der Regel die Kanzleileitung.
Sie trägt die Gesamtverantwortung für die Einhaltung der DSGVO und haftet bei Verstößen.
Innerhalb der Kanzlei sollte klar geregelt sein, wer Datenschutzaufgaben übernimmt:
- Wer führt die Datenschutz-Dokumentation?
- Wer überwacht Löschfristen und Zugriffsrechte?
- Wer kommuniziert mit der Aufsichtsbehörde bei Rückfragen?
Transparente Zuständigkeiten vermeiden Fehler und erleichtern den Nachweis der Einhaltung gegenüber Behörden oder Mandanten.
4. Welche personenbezogenen Daten verarbeitet eine Kanzlei?
Kanzleien verarbeiten im Alltag zahlreiche sensible Datenarten:
- Stammdaten (Namen, Adressen, Kontaktdaten)
- Finanz- oder Steuerinformationen
- Vertrags- und Mandatsunterlagen
- Kommunikationsdaten (E-Mails, Telefonnotizen, Schriftsätze)
- Mitarbeiter- und Bewerberdaten
Die Verarbeitung der Daten muss stets einem legitimen Zweck dienen – etwa der Erfüllung einer rechtlichen Verpflichtung oder der Abwicklung eines Mandats.
Zudem gilt das Prinzip der Datenminimierung: Es dürfen nur Daten erhoben werden, die wirklich erforderlich sind.
Kanzleien sollten außerdem interne Löschfristen festlegen, um Daten zu entfernen, sobald sie nicht mehr benötigt werden oder gesetzliche Aufbewahrungsfristen abgelaufen sind.
5. Warum benötigt jede Kanzlei ein Verzeichnis der Verarbeitungstätigkeiten?
Nach Art. 30 DSGVO ist jede Kanzlei verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.
Dieses Dokument beschreibt, welche Daten verarbeitet werden, zu welchem Zweck und mit welchen Sicherheitsmaßnahmen.
Ein vollständiges Verarbeitungsverzeichnis enthält unter anderem:
- Name und Kontaktdaten der Kanzlei
- Zwecke und Rechtsgrundlagen der Datenverarbeitung
- Kategorien von betroffenen Personen und Daten
- Empfänger (z. B. IT-Dienstleister, Steuerberater, Softwareanbieter)
- Festgelegte Löschfristen
- Beschreibung der technischen und organisatorischen Maßnahmen
Dieses Verzeichnis ist ein zentrales Kontrollinstrument und muss auf Anfrage der Datenschutzbehörden vorgelegt werden können.
Kanzleien, die kein aktuelles Verzeichnis führen, riskieren Bußgelder und Abmahnungen.
6. Wann ist ein Datenschutzbeauftragter erforderlich?
Nicht jede Kanzlei benötigt zwingend einen Datenschutzbeauftragten, aber oft empfiehlt sich die Bestellung.
Laut BDSG‑neu muss ein Datenschutzbeauftragter bestellt werden, wenn:
- mindestens zehn Personen regelmäßig personenbezogene Daten automatisiert verarbeiten, oder
- besonders sensible Daten (z. B. Gesundheits-, Straf- oder Finanzdaten) verarbeitet werden.
Auch wenn keine gesetzliche Pflicht besteht, ist ein externer Datenschutzbeauftragter für Kanzleien häufig sinnvoll.
Er unterstützt bei der Umsetzung der DSGVO, überwacht Prozesse, schult Mitarbeiter und dient als Ansprechpartner für die Aufsichtsbehörde.
So lassen sich Risiken frühzeitig erkennen und Verstöße vermeiden.
7. Welche technischen und organisatorischen Maßnahmen (TOM) sind notwendig?
Die technischen und organisatorischen Maßnahmen sind das Rückgrat des Datenschutzes.
Sie regeln, wie Kanzleien ihre Systeme, Prozesse und Zugänge absichern.
Wichtige Beispiele:
- Verschlüsselung sensibler Dokumente und Kommunikation
- Zugriffsbeschränkungen nach Rollenprinzip
- Regelmäßige Datensicherung und Backups
- Einsatz sicherer E-Mail-Provider
- Schulungen der Mitarbeitenden zur Sensibilisierung
- Absicherung von Serverräumen und Endgeräten
Diese Maßnahmen müssen angemessen zum Risiko sein. Eine kleine Kanzlei benötigt keine Großkonzern-IT, sollte aber dokumentieren, welche Schutzmaßnahmen umgesetzt wurden – inklusive Datensicherung und Zugriffskontrolle.
Werden externe IT-Dienstleister eingebunden, sollte stets ein Vertrag zur Auftragsverarbeitung bestehen.
8. Wie werden Betroffenenrechte umgesetzt?
Die DSGVO stärkt die Rechte von Personen, deren Daten verarbeitet werden.
Mandanten, Mitarbeiter oder Bewerber haben u. a. ein Auskunftsrecht, das Recht auf Berichtigung und das Recht auf Löschung ihrer Daten.
Kanzleien müssen gewährleisten, dass sie solche Anfragen innerhalb der gesetzlichen Fristen bearbeiten können – in der Regel innerhalb eines Monats.
Wichtig ist auch die Dokumentation, wie mit diesen Anfragen umgegangen wird.
Ein strukturierter Ablaufplan hilft, Betroffenenrechte effizient und rechtssicher zu erfüllen, ohne interne Abläufe zu stören.
9. Was passiert bei einer Datenpanne?
Trotz hoher Standards kann es passieren: Eine E-Mail geht an den falschen Empfänger, ein Laptop wird gestohlen oder ein Server wird kompromittiert.
Dann spricht man von einer Datenpanne.
Die DSGVO verpflichtet Kanzleien, solche Vorfälle innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden – sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht.
Die Meldung muss Art, Umfang, Folgen und Maßnahmen der Datenverarbeitung beschreiben.
Falls ein erhebliches Risiko besteht, müssen auch die Betroffenen informiert werden.
Ein internes Verfahren zur Bewertung und Meldung von Datenpannen sollte daher Teil jeder Compliance-Struktur sein.
10. Bußgelder, Abmahnungen und Prüfungen durch Datenschutzbehörden
Bei Verstößen gegen die DSGVO drohen empfindliche Sanktionen.
Die Bußgeldvorschriften sehen Strafen bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes vor – je nachdem, was höher ist.
Auch Abmahnungen von Wettbewerbern oder Mandanten sind möglich, wenn z. B. auf der Kanzlei-Website die Datenschutzerklärung fehlt oder Cookie-Banner falsch implementiert sind.
Weiterhin kann eine Datenschutzverletzung das Vertrauen der Mandanten nachhaltig beeinträchtigen.
Eine regelmäßige Überprüfung und Dokumentation der Einhaltung ist daher nicht nur gesetzliche Pflicht, sondern auch ein wichtiger Beitrag zur Kanzlei-Reputation.
Fazit: Die wichtigsten Punkte der DSGVO-Checkliste für Kanzleien
- Die DSGVO gilt seit Mai 2018 für alle Kanzleien, die personenbezogene Daten verarbeiten.
- Die Kanzleileitung trägt die Verantwortung für Datenschutz und Compliance.
- Führen Sie ein aktuelles Verzeichnis der Verarbeitungstätigkeiten.
- Prüfen Sie, ob ein Datenschutzbeauftragter erforderlich ist.
- Definieren Sie klare Löschfristen und Zugriffsrechte.
- Setzen Sie technische und organisatorische Maßnahmen konsequent um.
- Schaffen Sie Verfahren für Betroffenenrechte und Datenpannen.
- Schulen Sie regelmäßig alle Mitarbeitenden zum Thema Datenschutz.
- Dokumentieren Sie Ihre Maßnahmen – Nachweis ist Pflicht.
- Datenschutz ist kein Projekt, sondern ein kontinuierlicher Compliance-Prozess.
Eine gut strukturierte Datenschutzorganisation schützt nicht nur vor Bußgeldern, sondern stärkt auch das Vertrauen Ihrer Mandanten – ein entscheidender Erfolgsfaktor für jede moderne Kanzlei.
DSGVO-Checkliste für Kanzleien
1. Verzeichnis der Verarbeitungstätigkeiten führen
Dokumentieren Sie alle Prozesse, bei denen personenbezogene Daten verarbeitet werden – inklusive Zweck, Rechtsgrundlage, Empfänger und Löschfristen.
2. Datenschutzbeauftragte prüfen oder benennen
Ab zehn Mitarbeitenden, die regelmäßig Daten verarbeiten, ist ein Datenschutzbeauftragter gesetzlich vorgeschrieben (§ 38 BDSG-neu). In vielen Fällen empfiehlt sich auch freiwillig ein externer Datenschutzbeauftragter.
3. Auftragsverarbeitungsverträge abschließen
Wenn externe Dienstleister wie IT-Support, Hosting oder Cloud-Systeme eingebunden sind, muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO bestehen.
4. Technische und organisatorische Maßnahmen (TOM) umsetzen
Sorgen Sie für angemessene IT-Sicherheit: Zugriffsschutz, Verschlüsselung, regelmäßige Datensicherung, Rollen- und Rechtekonzepte.
5. Lösch- und Aufbewahrungsfristen definieren
Legen Sie fest, wie lange personenbezogene Daten aufbewahrt werden – und löschen Sie diese nach Ablauf der Frist oder wenn der Zweck entfällt.
6. Betroffenenrechte gewährleisten
Mandanten, Mitarbeitende oder Bewerber haben Rechte auf Auskunft, Berichtigung und Löschung. Stellen Sie sicher, dass solche Anfragen fristgerecht bearbeitet und dokumentiert werden.
7. Datenpannen-Prozess definieren
Richten Sie ein internes Verfahren ein, um Datenschutzverletzungen zu erkennen, zu bewerten und innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden (Art. 33 DSGVO).
8. Mitarbeitende regelmäßig schulen
Sensibilisieren Sie Ihr Team für Datenschutz, Verschwiegenheit und sichere Kommunikation – insbesondere bei E-Mails, Aktenzugriffen und Cloud-Diensten.
9. Datenschutzerklärung und Cookie-Banner prüfen
Ihre Kanzlei-Website muss eine aktuelle, DSGVO-konforme Datenschutzerklärung enthalten und die Einwilligung für Cookies korrekt einholen.
10. Datenschutz regelmäßig überprüfen und dokumentieren
Führen Sie interne Audits oder Selbstkontrollen durch, um die Einhaltung der DSGVO dauerhaft sicherzustellen.
Hinweis:
Diese Checkliste enthält die wichtigsten Punkte für Kanzleien – sie ersetzt jedoch keine vollständige Datenschutz-Analyse.
Jede Kanzlei hat individuelle Strukturen und Verantwortlichkeiten, die im Rahmen eines Datenschutzkonzepts detailliert geprüft werden sollten.
Haftungshinweis / rechtliche Einordnung
Hinweis für Leser:
Diese DSGVO-Checkliste wurde mit größter Sorgfalt erstellt und richtet sich an Kanzleien, die ihre Datenschutzprozesse verbessern möchten.
Sie stellt jedoch keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar und ersetzt keine individuelle Prüfung durch einen qualifizierten Rechtsanwalt oder Datenschutzbeauftragten.
Ich als Webdesigner übernehme keine Haftung für Vollständigkeit, Richtigkeit oder Aktualität der Inhalte.
Alle Informationen dienen ausschließlich der allgemeinen Orientierung und basieren auf dem derzeitigen Stand der DSGVO-Anforderungen.
Für die verbindliche Umsetzung der Datenschutzpflichten Ihrer Kanzlei wenden Sie sich bitte an:
-
Ihren Datenschutzbeauftragten,
-
einen spezialisierten Rechtsanwalt für Datenschutzrecht oder
-
die zuständige Aufsichtsbehörde Ihres Bundeslandes.
