Rechtsanwälte und Steuerberater stehen in besonderer Verantwortung, wenn es um den Schutz personenbezogener Daten geht. Sie verarbeiten regelmäßig hochsensible Informationen, die bereits dem Berufsgeheimnis unterliegen – etwa Mandats- und Steuerdaten, Vertragsunterlagen, wirtschaftliche Verhältnisse und private Lebenssachverhalte. Der Schutz dieser Daten ist nicht nur ein Gebot der Vertraulichkeit und Berufsethik, sondern auch eine gesetzliche Pflicht nach der Datenschutz-Grundverordnung (DSGVO). Ein Verstoß gegen datenschutzrechtliche Vorgaben kann nicht nur zu erheblichen Bußgeldern führen, sondern auch das Vertrauensverhältnis zu Mandanten dauerhaft schädigen. Daher ist es unerlässlich, dass Datenschutz als integraler Bestandteil des Kanzleimanagements verstanden und gelebt wird.

Berufsrechtliche Grundlagen und bereits etablierter Datenschutz

Der Datenschutz ist für Rechtsanwälte und Steuerberater nicht erst mit der DSGVO ein Thema geworden – er ist bereits tief in den berufsrechtlichen Regelwerken verankert. Für Rechtsanwälte ergibt sich die Verschwiegenheitspflicht unter anderem aus § 43a BRAO (Bundesrechtsanwaltsordnung) sowie § 203 StGB, der die Verletzung von Privatgeheimnissen unter Strafe stellt. Steuerberater sind nach § 57 StBerG (Steuerberatungsgesetz) zur gewissenhaften Berufsausübung und zur Verschwiegenheit verpflichtet. Diese gesetzlichen Vorschriften legen einen hohen Maßstab an die Vertraulichkeit und den Schutz personenbezogener Daten an – unabhängig von der DSGVO.

Durch diese berufsrechtlichen Vorgaben sind Kanzleien traditionell schon sehr sensibilisiert im Umgang mit vertraulichen Informationen. Dennoch bringt die DSGVO zusätzliche Pflichten mit sich, etwa in Bezug auf Rechenschaftspflichten, Dokumentation und technische Sicherungsmaßnahmen. Damit ergänzen sich Berufsrecht und Datenschutzrecht und führen zu einem besonders strengen Maßstab, an dem sich Kanzleien messen lassen müssen. Wer gegen datenschutzrechtliche Vorgaben verstößt, riskiert neben Bußgeldern auch berufsrechtliche Konsequenzen.

Benennung eines Datenschutzbeauftragten

Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO in Verbindung mit § 38 Bundesdatenschutzgesetz (BDSG). Für Kanzleien wird dies insbesondere dann relevant, wenn:

• mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (z. B. über Mandatsbearbeitung, E-Mails, Aktenverwaltung),
• eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO erfolgt (z. B. Gesundheitsdaten, Strafverteidigungsmandate), oder
• eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist.

Dabei ist nicht nur die Anzahl der festangestellten Vollzeitmitarbeiter zu berücksichtigen. Auch Teilzeitkräfte, Auszubildende, Werkstudenten oder freie Mitarbeiter, die regelmäßig Zugriff auf personenbezogene Daten haben, zählen zur Schwelle von 20 Personen.

In der Praxis bedeutet dies, dass insbesondere größere Kanzleien oder spezialisierte Sozietäten – etwa im Medizin- oder Strafrecht – häufig unter die Pflicht zur Benennung eines (internen oder externen) Datenschutzbeauftragten fallen. Die Benennung muss dokumentiert und der zuständigen Datenschutzaufsichtsbehörde mitgeteilt werden. Verstöße gegen die Benennungspflicht können mit Bußgeldern sanktioniert werden.

Besonderheiten bei Partnerschaftsgesellschaften und Bürogemeinschaften

Für Partnerschaftsgesellschaften oder Kanzleien in Bürogemeinschaften gilt: Jede organisatorisch eigenständige Einheit muss eigenständig prüfen, ob eine Benennungspflicht besteht. Bei echten Sozietäten, in denen eine gemeinsame Mandatsbearbeitung und gemeinsame Datenverarbeitung erfolgt, ist die Partnerschaft als einheitlich Verantwortlicher anzusehen. In solchen Fällen wird die Anzahl der Beschäftigten gemeinsam betrachtet, sodass die 20-Personen-Schwelle schneller erreicht werden kann.

In Bürogemeinschaften hingegen, bei denen die Infrastruktur (z. B. Empfang, Technik, Räumlichkeiten) zwar geteilt wird, aber keine gemeinsame Datenverarbeitung stattfindet, ist jede Kanzlei datenschutzrechtlich eigenständig verantwortlich. Die Verantwortung für die Einhaltung der DSGVO liegt dann jeweils bei der einzelnen Einheit. Auch wenn hier keine Benennungspflicht besteht, gelten dennoch alle übrigen datenschutzrechtlichen Anforderungen uneingeschränkt.

Pflichten der Kanzlei im Bereich Datenschutz

Unabhängig von der Benennung eines Datenschutzbeauftragten treffen jede Kanzlei umfangreiche Pflichten aus der DSGVO:

• Verzeichnis von Verarbeitungstätigkeiten: Jede Kanzlei ist verpflichtet, ein vollständiges und aktuelles Verzeichnis aller Verarbeitungstätigkeiten zu führen, in dem u. a. die Zwecke der Verarbeitung, Kategorien von Daten und Empfängern dokumentiert sind.
• Informationspflichten: Mandanten müssen bereits bei Erhebung der Daten umfassend über die Verarbeitung informiert werden – z. B. über die Rechtsgrundlagen, Speicherdauer und ihre Rechte.
• Auftragsverarbeitung: Werden externe Dienstleister (z. B. IT, Cloud, Hosting, Lohnbuchhaltung) eingebunden, sind Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO erforderlich. Die Auswahl der Dienstleister muss dokumentiert und auf ihre DSGVO-Konformität geprüft werden.
• Technische und organisatorische Maßnahmen (TOM): Der Schutz der Daten muss durch angemessene Maßnahmen gewährleistet sein, z. B. durch Zugriffsrechte, Verschlüsselung, Firewalls, Passwortschutz und regelmäßige Datensicherungen.
• Rechte der Betroffenen: Es müssen Prozesse vorhanden sein, um Anfragen von Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch) fristgerecht und nachvollziehbar zu bearbeiten.
• Datenschutz-Folgenabschätzung (DSFA): Für besonders risikobehaftete Datenverarbeitungen (z. B. Scoring-Verfahren, automatisierte Entscheidungsfindung, Videoüberwachung) muss eine DSFA durchgeführt und dokumentiert werden.
• Schulung und Sensibilisierung: Alle Mitarbeitenden – auch Aushilfen und Auszubildende – sind regelmäßig zum Datenschutz zu schulen. Dies umfasst sowohl rechtliche Grundlagen als auch praktische Sicherheitsregeln im Kanzleialltag.
• Löschkonzept und Datenminimierung: Es muss ein Konzept zur datenschutzkonformen Archivierung und Löschung von Daten vorhanden sein. Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind.

Fazit

Datenschutz ist in Kanzleien kein rein technisches Thema, sondern Teil des Berufsverständnisses und der vertrauensvollen Beziehung zu Mandantinnen und Mandanten. Rechtsanwälte und Steuerberater müssen nicht nur die gesetzlichen Vorgaben der DSGVO erfüllen, sondern auch ein hohes Maß an organisatorischer Sorgfalt und Verantwortungsbewusstsein zeigen. Dies betrifft sowohl den Umgang mit digitalen Systemen als auch mit Papierakten, vertraulichen Gesprächen und alltäglichen Arbeitsabläufen. Die rechtzeitige Prüfung der Benennungspflicht eines Datenschutzbeauftragten und die konsequente Umsetzung datenschutzkonformer Prozesse sind zentrale Bausteine für eine moderne, rechtssichere und vertrauenswürdige Kanzleiführung. Professioneller Datenschutz ist damit nicht nur eine gesetzliche Pflicht – er ist auch ein Qualitätsmerkmal anwaltlicher und steuerberatender Tätigkeit.

Gerne unterstützen wir Sie als externer Datenschutzbeauftragter für Steuerberater oder als externer Datenschutzbeauftragter für Rechtsanwälte.