Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Compliance

Anwaltskanzlei, Steuerberater, WP-Praxis: Mandantengeheimnis, BORA/StBerG und Cyber-Sicherheit 2026

SecTepe Redaktion
|
|
6 Min. Lesezeit

Anwälte, Steuerberater und Wirtschaftsprüfer sind Berufsgeheimnisträger nach §203 StGB. Was viele Kanzlei-Inhaber 2026 nicht ausreichend ernst nehmen: Wenn Mandantendaten durch einen Cyber-Vorfall an Dritte gelangen, ist das nicht „IT-Pech", sondern eine berufsrechtlich und strafrechtlich relevante Verletzung – persönlich, mit Berufsverbot-Risiko.

Die regulatorische Lage 2026

  • §203 StGB (Verletzung von Privatgeheimnissen): vorsätzlich oder fahrlässig. „Wir wussten nicht, dass die Mailbox nicht verschlüsselt war" wird vor Gericht nicht akzeptiert.
  • BORA §2 (Berufsordnung Anwälte): explizite Pflicht zur Verschwiegenheit, mit technisch-organisatorischen Maßnahmen-Pflicht.
  • StBerG §57 (Steuerberatungsgesetz): analog für Steuerberater, mit zusätzlicher Pflicht zur Wahrung von Mandantengeheimnis bei elektronischer Datenübermittlung.
  • WPO §43 (Wirtschaftsprüferordnung): analog für Wirtschaftsprüfer, mit Berufsaufsichts-Verfahren bei Verstoß.
  • DSGVO Art. 32–34: Datenpannen-Meldepflicht, mit besonderem Schutz für Berufsgeheimnis-Daten.
  • NIS-2: betrifft 2026 zunehmend auch große Kanzleien als Lieferanten von KRITIS-Mandanten.

Was Kanzlei-Inhaber häufig unterschätzen

1. E-Mail ist der Hauptkanal

90 % der Mandantenkommunikation läuft über E-Mail. Eine kompromittierte Mailbox = vollständiger Zugriff auf laufende Verfahren, Verteidigungsstrategien, Vertragsentwürfe. Klassische Phishing-Angriffe gegen Kanzleien funktionieren in 2026 weiterhin verblüffend gut.

Lösung: Mail-Security mit CAPE-Sandbox + LLM-basierte BEC-Klassifikation + DLP für ausgehende Mails. Self-hosted, weil Mandanten-Korrespondenz nicht in einer US-Cloud liegen darf.

2. Cloud-Office ist berufsrechtliches Minenfeld

Microsoft 365 oder Google Workspace mit Mandanten-Dokumenten: Schrems II macht das DSGVO-rechtlich problematisch, BORA §2 verschärft es. Berufskammern haben in 2024/2025 mehrere Hinweise herausgegeben, dass US-Cloud für Mandantendaten nicht ohne explizite zusätzliche Maßnahmen tragbar ist.

Alternative: self-hosted Office-Suite (OnlyOffice, Collabora, Nextcloud) oder europäischer Anbieter mit Schrems-II-konformem Setup.

3. Kommunikation mit Mandanten verschlüsselt – aber wie?

PGP funktioniert technisch, scheitert aber regelmäßig am Mandanten („wie installiere ich GPG?"). S/MIME ist ähnlich. Realistische Lösung 2026: ein eIDAS-konformer Schlüsselbund mit OnlyOffice-Integration + Mandanten-Portal mit verschlüsselter Datei-Übergabe via Browser.

4. Lieferanten = Berufsgeheimnis-Risiko

Steuerberater nutzt DATEV (DSGVO-konform). Anwalt nutzt anwaltsspezifische SaaS-Lösungen (Lecare, RA-Micro, advoware) – diese sind oft DSGVO-konform, aber: ist auch deren Hosting EU? Wer sind deren Sub-Prozessoren? TPRM-Modul mit jährlicher Re-Bewertung gehört auch in 5-MA-Kanzleien zur Sorgfalt.

5. Ransomware-Vorfall = potenzielle Veröffentlichung von Mandanten-Daten

Moderne Ransomware-Banden exfiltrieren vor der Verschlüsselung. Mandantendaten landen im Darknet, falls nicht gezahlt wird. Für eine Kanzlei: nicht nur DSGVO-Pflicht-Meldung, sondern Berufsaufsichts-Verfahren + Klagewelle der Mandanten + Reputations-Verlust.

Lösung: Vorbereitung mit dem 72h-Plan + Backup-Strategie 3-2-1-1-0 + Incident-Response-Tabletop.

Was eine Plattform-Lösung bringt

Eine integrierte Sicherheits-Plattform deckt die 5 Schmerzpunkte aus einer Quelle:

  • Mail-Security mit Phishing-/BEC-Detection – CAPE-Sandbox + lokales LLM, DSGVO-konform self-hosted.
  • Mandanten-Portal mit verschlüsselter Datei-Übergabe – statt unverschlüsselter Mail-Anhänge.
  • OnlyOffice oder Collabora als Office-Suite – mit eIDAS-Signatur-Integration für Verträge und Vollmachten.
  • TPRM-Modul für Lieferanten-Übersicht – inkl. Sub-Prozessor-Tracking.
  • Backup mit Immutable-Storage – Ransomware-Schutz mit Restore-Test-Protokoll.
  • Audit-Trail für Mandanten-Datenzugriffe – Wer hat wann welche Akte geöffnet? Wichtig im Streitfall.

Realistische Setup-Erwartung

  • Solo-Kanzlei (1–3 Berufsträger): ~3 Monate Setup, ~25 k€ initial, sinnvoll oft als Verbund mit anderen Kanzleien.
  • Mittlere Kanzlei (10–30 Berufsträger): ~6 Monate, ~80 k€ initial, ROI über vermiedene Berufsaufsichts-Verfahren in 2 Jahren.
  • Großkanzlei (100+ Berufsträger): ~9 Monate, ~200 k€ initial, oft mit ISO 27001-Zertifizierung als Mandanten-Voraussetzung.

Compliance-Mapping

  • §203 StGB: Berufsgeheimnis-Verletzung, Freiheitsstrafe oder Geldstrafe.
  • BORA §2 / StBerG §57 / WPO §43: berufsrechtliche Verschwiegenheits-Pflicht mit TOMs.
  • DSGVO Art. 32–34: Datenpannen-Meldepflicht.
  • NIS-2: für große Kanzleien zunehmend relevant als Lieferant von KRITIS.
  • BRAO §59b (Anwaltsverein): Berufsaufsichts-Verfahren bei Verstoß.

Fazit

Berufsgeheimnis-Träger 2026 stehen unter rechtlich, regulatorisch und strafrechtlich klaren Pflichten. „Wir sind doch nur eine kleine Kanzlei" ist keine Verteidigung – §203 StGB kennt keine Größenklasse. Eine integrierte Cyber-Sicherheits- und Compliance-Plattform mit Mail-Security, verschlüsseltem Mandanten-Portal, eIDAS-Signaturen und TPRM-Modul ist 2026 für jede ernsthafte Kanzlei Pflicht-Infrastruktur, nicht Premium-Feature.

Alle Artikel ansehen Mehr aus dieser Kategorie