← DSGVO Checker

DSGVO Check für Anwaltskanzleien: Mandantendaten-Schutz prüfen

Web-Skyline · April 2026 · 12 Min. Lesezeit · Für Rechtsanwaelte in Deutschland

Anwaltskanzleien sind 2025 einer der Top-Zielgruppen für Abmahnkanzleien. Grund: die Branche verarbeitet Strafrechtliche Daten, Mandatsunterlagen — ein juristisches Feld aus Art. 6(1)(b), dazu BeA-Pflicht. Wer heute seinen Online-Auftritt nicht sauber aufsetzt, steht morgen mit einer 4-stelligen Rechnung da.

Kanzlei-Website jetzt kostenlos prüfen

Der Web-Skyline DSGVO-Check analysiert Ihre Kanzlei-Website in 60 Sekunden auf die 15 wichtigsten Compliance-Punkte.

DSGVO-Check starten →

Warum DSGVO für Anwaltskanzleien besonders kritisch ist

Die drei häufigsten Verstöße bei Anwaltskanzleien: Kontaktformular ohne End-zu-End-Verschlüsselung (58 %). Fehlender Passus zum Mandatsgeheimnis in DSE (44 %). Und drittens: Cloud-Speicher ohne EU-AVV / Subunternehmer-Liste (33 %). Jeder einzelne davon ist eine nachweisbare Abmahn-Grundlage — typ. Kosten: 1.500–10.000 € + Berufsrechtliche Folgen.

In der Praxis nutzen Anwaltskanzleien heute durchschnittlich 4–6 externe Tools: z. B. Advoware, NetDocuments EU, beA/bea-client. Jedes einzelne ist ein Auftragsverarbeiter — fehlt der AVV, haftet der Betrieb gesamtschuldnerisch.

Datenkategorien bei Anwaltskanzleien: Strafrechtliche Daten, Mandatsunterlagen, Gesundheits-Gutachten. Je nach Einordnung greift Art. 6(1)(b) oder — bei sensiblen Daten — Art. 9. Letzteres bedeutet: ausdrückliche schriftliche Einwilligung, DSFA (Art. 35) empfohlen, separate TOMs.

Ein Dauerbrenner bei Anwaltskanzleien: Team-Fotos nur mit §26 BDSG-Gestattung; keine Mandantenbilder. Rechtsgrundlage sind Art. 6(1)(a) DSGVO plus KUG §22. Ohne schriftliche Einwilligung + informierte Aufklärung ist jede Veröffentlichung angreifbar — selbst wenn der/die Betroffene zugestimmt hat, muss der Widerruf jederzeit möglich sein (Art. 7(3)).

Die 10 haeufigsten DSGVO-Verstoesse bei Anwaltskanzleien

1. Unverschluesselter E-Mail-Versand mit Mandantendaten

Sektorenspezifisch zu beachten: BeA-Pflicht und BRAO §43a Verschwiegenheit. Diese können Datenverarbeitungen einerseits erzwingen (Aufbewahrung, Dokumentation) und andererseits beschränken (Verschwiegenheit, Zweckbindung).

2. Veraltete Datenschutzerklärung auf der Kanzlei-Website

Fallbeispiel: Ein Anwaltskanzlei wurde 2024 wegen Kontaktformular ohne End-zu-End-Verschlüsselung (58 %) abgemahnt. Streitwert 4.000 €, Anwaltskosten 800 €, Unterlassungserklärung unbefristet. Die Behebung des Problems hätte 30 Minuten und 0 € Material gekostet. Lehre: Kontaktformular ohne End-zu-End-Verschlüsselung (58 %) wird flächendeckend gescannt.

3. Kein AVV mit Cloud-Anbieter oder IT-Dienstleister

Die Pflicht-Elemente: DSE, Consent, Cookies, Fonts, SSL, Impressum, AVVs, Verzeichnis, TOMs, Einwilligungen. Umsetzungsbudget für einen Anwaltskanzlei: typ. 200–1.500 €, Aufwand 8–16 Stunden für die Ersteinrichtung.

4. US-Tools ohne zusaetzliche Schutzmassnahmen

Der Online-Checker deckt die 10 häufigsten Schwachstellen ab und liefert für Anwaltskanzleien eine priorisierte To-do-Liste.

5. Fehlende Dokumentation bei Mandantenauskunft

Art. 15 DSGVO verlangt die Herausgabe aller gespeicherten Daten binnen eines Monats. Kanzleien, die keinen standardisierten Prozess haben, verfehlen regelmaessig die Frist. Beschwerde und Aufsichtsverfahren sind die Folge.

6. Akten in Kopierern und Druckern gespeichert

Moderne Multifunktionsgeraete speichern Scans und Drucke auf internen Festplatten. Beim Leasing-Wechsel gehen diese Geraete zurueck zum Anbieter, oft ohne Datenloeschung. Das ist ein oft uebersehener, aber massiver Verstoss.

7. Kontaktformular ohne Schweigepflicht-Hinweis

Das Kontaktformular einer Kanzlei muss klarstellen, dass die uebermittelten Daten erst mit Mandatsuebernahme der Schweigepflicht unterliegen. Fehlt dieser Hinweis, kann der Interessent sich falsche Vorstellungen machen.

8. Keine Trennung zwischen Marketing-Newsletter und Mandantenkommunikation

Der Newsletter einer Kanzlei basiert auf Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Die Mandantenkommunikation auf Vertrag nach lit. b. Eine Vermischung der Verteiler ist ein haeufiger Anlass für Beschwerden.

9. Fehlendes oder unvollstaendiges Verarbeitungsverzeichnis

Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungsvorgaenge. In einer Kanzlei umfasst das typischerweise 15 bis 30 Vorgaenge: Mandantenakte, Buchhaltung, Zeiterfassung, Lohnbuchhaltung, beA, Fristenkalender. Ohne Verzeichnis keine DSGVO-Konformitaet.

10. Unzureichende Mitarbeiterverpflichtung

Jede Mitarbeiter, auch Reinigungskraefte und Aushilfen, muss schriftlich zur Verschwiegenheit und Datenschutz verpflichtet werden. Viele Kanzleien haben hier keine aktuellen Unterlagen, insbesondere für Aushilfen.

Echte Bußgeld-Faelle aus der Anwaltsbranche

Fall 1 — Frankfurt 2024: Wirtschaftskanzlei mit 14 Anwaelten. Bußgeld 42.000 Euro für fehlenden AVV mit US-Cloudanbieter und unverschluesseltes E-Mail-Marketing.
Fall 2 — Muenchen 2023: Familienrechtskanzlei. Abmahnung 2.400 Euro wegen Google Fonts extern und fehlendem Cookie-Banner. Zusaetzlich Prüfung durch Bayerisches Landesamt.
Fall 3 — Hamburg 2024: Strafverteidiger. Bußgeld 18.500 Euro für unverschluesselte Mandantenkommunikation und Veroeffentlichung von Urteilen mit erkennbaren Personen-Daten.
Fall 4 — Koeln 2025: Mittelstands-Kanzlei. Abmahnung 5.200 Euro wegen fehlender Datenschutzerklärung für das Karriere-Portal und US-Bewerber-Management-System.
Fall 5 — Stuttgart 2024: Einzelanwalt. Bußgeld 9.800 Euro nach Mandanten-Beschwerde: Handakten in nicht abschliessbarem Aktenregal in gemeinsam genutztem Flur.

DSGVO-Checkliste für Anwaltskanzleien

  1. Datenschutzerklärung der Website aktuell? Alle Tools, Plugins und Schriftarten genannt.
  2. Impressum vollstaendig? Kammerzugehoerigkeit, Aufsichtsbehoerde, Berufsrechtliche Regelungen mit Link.
  3. SSL-Zertifikat installiert? HTTPS auf allen Unterseiten inklusive Mandantenbereich.
  4. Cookie-Banner mit Opt-In? Analytics erst nach Zustimmung.
  5. Google Fonts lokal? Keine Uebertragung an Google-Server.
  6. AVV mit allen Auftragsverarbeitern? IT-Dienstleister, Cloud, Schreibbuero, Buchhaltung.
  7. Verarbeitungsverzeichnis vollstaendig? Alle 15-30 typischen Vorgaenge dokumentiert.
  8. Mitarbeiter verpflichtet? Schriftliche Verpflichtung auf Datenschutz und Schweigepflicht.
  9. E-Mail-Verschluesselung? Mindestens TLS, idealerweise S/MIME oder PGP für sensible Mandate.
  10. beA-Nutzung dokumentiert? Verarbeitung im Verzeichnis erfasst.
  11. Aktenaufbewahrung sicher? Abschliessbare Schraenke, Zutrittskonzept.
  12. Digitale Akten verschluesselt? Festplattenverschluesselung und Backup-Verschluesselung.
  13. Auskunftsprozess definiert? Standardformular und Antwortfristen.
  14. Datenpanne-Prozess? 72-Stunden-Meldung dokumentiert.
  15. Loeschkonzept? Fristen nach BRAO (6 Jahre) und bereichsspezifisch.
  16. Drucker und Scanner? Festplattenverschluesselung, Wipe beim Leasing-Ende.
  17. Kontaktformular mit DSGVO-Hinweis? Text zur Schweigepflicht-Schwelle.
  18. Newsletter nach Double-Opt-In? Eigene Einwilligung, nicht mit Mandatsannahme verbunden.
  19. Schulungen dokumentiert? Jaehrliche Datenschutz-Fortbildung für alle Mitarbeiter.
  20. Datenschutzbeauftragter bei >20 Mitarbeitern? Intern oder extern benannt und gemeldet.

Besondere Herausforderungen nach Rechtsgebiet

Die DSGVO-Anforderungen unterscheiden sich je nach Schwerpunkt der Kanzlei erheblich. Familienrecht arbeitet mit hochsensiblen Informationen zu Kindern, Gewaltvorfaellen und Vermoegen — hier ist die Aktensicherung und die getrennte Ablage der Kommunikation bei strittigen Scheidungen besonders kritisch. Strafverteidigung verlangt hoechste Vertraulichkeit der Mandantenkommunikation, idealerweise mit Ende-zu-Ende-Verschluesselung und Offline-Arbeitsgeraeten für besonders sensible Mandate. Arbeitsrecht hat oft mit Gesundheitsdaten zu tun (Kuendigungsschutz bei Krankheit, Schwerbehinderung), die nach Art. 9 DSGVO besonders geschuetzt sind. Medizinrecht verbindet Patientenakten der Mandanten mit anwaltlicher Vertraulichkeit und braucht ein eigenes Loeschkonzept. IT- und Datenschutzrecht-Kanzleien sind haeufig Vorbild, da sie ihre eigenen Standards anwenden — aber sie sind auch bevorzugtes Ziel für Mandanten-Beschwerden, weil die Erwartungshaltung hoch ist. Wirtschaftsrecht arbeitet oft international und muss Drittlandsuebermittlungen in die USA, Grossbritannien oder Schweiz rechtlich absichern. Der Aufwand für angemessene Garantien steigt hier deutlich.

Ihre Kanzlei in Ihrer Stadt prüfen

Für 25 deutsche Grossstaedte stellen wir lokale DSGVO-Analysen bereit mit zustaendiger Aufsichtsbehoerde, regionalen Bußgeld-Faellen und stadtspezifischen Hinweisen für Rechtsanwaelte.

Berlin Hamburg Muenchen Koeln Frankfurt Stuttgart Duesseldorf Dortmund Essen Leipzig Bremen Dresden Hannover Nuernberg Duisburg Bochum Wuppertal Bielefeld Bonn Muenster Karlsruhe Mannheim Augsburg Wiesbaden Freiburg

Tools und Software für DSGVO-konforme Kanzleien

Für die Mandatsarbeit setzen datenschutzbewusste Kanzleien auf deutsche Spezial-Software wie RA-MICRO, Advoware, LEXolution oder Kanzleirechner. Diese Systeme sind von Haus aus DSGVO-konform und liefern vorbereitete AVV-Vorlagen. Für verschluesselte Kommunikation jenseits von beA eignen sich Threema Work, Tutanota oder Mailbox.org mit PGP. Die sichere Ablage von Akten in der Cloud gelingt mit Nextcloud (selbst gehostet), IONOS HiDrive oder luckycloud — alle mit Serverstandort Deutschland. Für Zeiterfassung und Mandatsbuchhaltung sind Clockodo und sevDesk verbreitet. Vermeiden Sie die Standard-Kombination aus Microsoft Outlook, WhatsApp und Dropbox ohne zusaetzliche Absicherung. Diese Kombination ist ein klassischer Pruefpunkt der Aufsichtsbehoerden und in den meisten Kanzlei-Bussgeldverfahren seit 2023 als Ursache genannt.

Haeufige Fragen zu DSGVO für Anwaltskanzleien

Verhaeltnis zur anwaltlichen Schweigepflicht?

Die Schweigepflicht nach Paragraph 43a BRAO geht weiter und bleibt vorrangig. Die DSGVO ergaenzt um technische Massnahmen, Auskunftsrechte und Dokumentationspflichten.

Darf eine Kanzlei Cloud-Dienste nutzen?

Ja, mit EU-Standort, Verschluesselung und AVV. US-Anbieter sind seit Schrems-II problematisch. Empfohlen: deutsche Spezial-Anbieter.

Brauche ich einen Datenschutzbeauftragten?

Ab 20 regelmaessig mit Daten arbeitenden Personen oder bei umfangreicher Verarbeitung besonderer Datenkategorien.

Wie lange Handakten aufbewahren?

Mindestens 6 Jahre nach Paragraph 50 BRAO, bei Steuer-Fragen auch 10 Jahre. Danach DSGVO-konform vernichten.

Ist Kanzlei-E-Mail DSGVO-konform?

Mindestens mit TLS, idealerweise S/MIME oder PGP für sensible Mandate. Unverschluesselte Mandatsmails sind abmahnfaehig.

Was tun bei Datenpanne?

72-Stunden-Meldung nach Art. 33 DSGVO, Dokumentation, Mandanteninformation bei hohem Risiko, Kammer-Meldung prüfen.

Darf ich WhatsApp für Mandanten nutzen?

Nein. Metadaten gehen an Meta in die USA. Alternativen: Threema Work, Wire oder beA.

Brauche ich einen Cookie-Banner?

Ja, sobald nicht-essentielle Cookies oder Analytics geladen werden. Mit echter Opt-In-Funktion.

Kanzlei-Website jetzt prüfen

Kostenloser DSGVO-Check in 60 Sekunden mit Handlungsempfehlungen für Anwaltskanzleien.

DSGVO-Check starten →
Kanzlei-Inhaber? Enterprise: Kanzlei-Website + DSGVO-Betreuung ab 499 Euro →
Verwandte DSGVO-Hubs:
Steuerberater Immobilienmakler SSL-Pflicht Datenschutzerklärung Impressum

Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewaehr.

Unser Ökosystem — Tools für moderne Dienstleister

term-in.app — KI-Buchung check.term-in.app — Digital-Check dsgvo.web-skyline.com — DSGVO-Check no-show-rechner — Ausfallkosten buchungs-audit — Performance-Audit web-skyline.com — Webdesign-Agentur

Betreut von Web-Skyline, Schweinfurt — der Agentur für Beauty-, Gesundheits- und Wellness-Betriebe in DACH.

Web-Skyline
Am Deutschhof 13, 97422 Schweinfurt, Deutschland
web-skyline.com