IT-Recht

Berufs-Schweigepflicht und Mail-Provider-Wahl: Was Anwälte 2026 wissen müssen

Redaktion
Berufs-Schweigepflicht und Mail-Provider-Wahl: Was Anwälte 2026 wissen müssen
Berufs-Schweigepflicht und Mail-Provider-Wahl: Was Anwälte 2026 wissen müssen

Von Redaktion Anwalt-Seiten
Zuletzt aktualisiert: 10. Juni 2026
Lesezeit: 9 Minuten

Inhaltsverzeichnis
Was § 43a BRAO konkret bedeutetWas bedeutet das für die Mail-Provider-Wahl?Die drei typischen Anbieter-StrategienDie § 203 StGB-FalleVerschlüsselung — wann ist sie Pflicht?Mandanten-Kommunikation außerhalb der MailboxCompliance-Audit der eigenen KanzleiFazit

§ 43a Absatz 2 der Bundesrechtsanwaltsordnung (BRAO) ist einer der zentralsten Sätze des deutschen Anwaltsrechts: „Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet.“ Was 1959 als grundlegendes Berufsprinzip festgeschrieben wurde, hat sich in den letzten Jahrzehnten zu einer komplexen Praxis-Frage entwickelt. Wer heute als Anwalt eine E-Mail an einen Mandanten schickt, eine Datei in einer Cloud speichert oder einen Termin im digitalen Kalender notiert — der trifft jedes Mal eine Compliance-Entscheidung, ob es bewusst ist oder nicht.

Die Bundesrechtsanwaltskammer (BRAK) hat 2024 in einem ausführlichen Positionspapier („Hinweise zur digitalen Kanzleipraxis“) die wichtigsten Anforderungen zusammengefasst. Der Bundesgerichtshof (BGH) hat in mehreren Entscheidungen zwischen 2022 und 2025 die Linie verschärft. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) hat aus DSGVO-Perspektive ergänzende Anforderungen formuliert. Aus diesen drei Quellen lässt sich 2026 eine klare Berufs-Compliance-Linie für die Mail-Provider-Wahl ableiten.

Was § 43a BRAO konkret bedeutet

Die Berufs-Schweigepflicht erfasst alle Tatsachen, die einem Anwalt in Ausübung seines Berufs anvertraut werden oder bekannt geworden sind. Das umfasst nicht nur die offensichtlichen Mandanten-Geheimnisse, sondern auch:

  • Die Tatsache, dass jemand überhaupt Mandant einer Kanzlei ist
  • Die Identität von Mandanten (in vielen Konstellationen)
  • Vertrags-Entwürfe, Vergleichs-Verhandlungen, strategische Überlegungen
  • Korrespondenz mit Gegenseiten, Wirtschaftsprüfern, Behörden
  • Interne Strategie-Memos und Notizen

Wer als Anwalt diese Informationen über ein Mail-System verarbeitet, das diese Daten nicht angemessen schützt, verletzt die Berufs-Schweigepflicht — auch wenn faktisch kein Datenleck eintritt. Das BGH-Urteil vom 12.03.2025 hat klargestellt, dass die „abstrakte Gefährdung“ durch unzureichende technische Schutzmaßnahmen ausreicht für eine Pflichtverletzung. Konsequenzen reichen von berufsrechtlichen Maßnahmen über Schadenersatz-Pflichten bis zur Strafbarkeit nach § 203 StGB.

Was bedeutet das für die Mail-Provider-Wahl?

Aus den verschiedenen rechtlichen Quellen lassen sich sechs konkrete Anforderungen an einen anwaltstauglichen Mailanbieter ableiten:

Erstens, AVV nach Art. 28 DSGVO. Der Anbieter muss einen Standard-AVV-Vertrag liefern, der mit dem Anwalt vor der ersten Verarbeitung von Mandanten-Daten abgeschlossen wird. Mailbox.org, Proton, Tuta, Mailfence und Posteo haben solche Standard-Verträge. Bei US-Anbietern wie Gmail sind die AVV-Texte oft schwächer oder nicht direkt verfügbar.

Siehe auch:  Datenschutzfolgeabschätzung: Grundlagen und Durchführung

Zweitens, EU-konformes Datenschutz-Niveau. Der Anbieter muss in der EU, im EWR oder einem Land mit anerkanntem Datenschutz-Niveau (Schweiz) sitzen. US-Anbieter sind nach dem Schrems-II-Urteil nur mit zusätzlichen Standardvertragsklauseln zulässig — was die Komplexität erhöht und die Compliance-Risiken multipliziert.

Drittens, technische Sicherheits-Maßnahmen. State-of-the-Art-Verschlüsselung in Transit (TLS 1.3) und at-Rest. Multi-Faktor-Authentifizierung. Vorfalls-Meldung. NIS2-Konformität ab den entsprechenden Größen-Schwellen. Das BSI hat in der Technischen Richtlinie TR-02102 die konkreten Anforderungen festgeschrieben.

Viertens, Aufbewahrungs-Kompatibilität. § 50 BRAO verlangt sechs Jahre Aufbewahrung für Mandanten-Akten. Der Anbieter muss diese Frist technisch unterstützen — entweder durch konfigurierte Aufbewahrungs-Einstellungen oder durch dauerhafte Speicherung mit anwaltlichem Zugriff.

Fünftens, Berufs-Wechsel-Tauglichkeit. Bei einem Kanzlei-Wechsel oder Berufsaustritt müssen Mandanten-Akten ordnungsgemäß übergeben werden können. Anbieter mit Vendor-Lock-in (proprietäre Formate ohne Export-Möglichkeit) sind hier problematisch.

Sechstens, Disaster-Recovery-Fähigkeit. Bei Ausfällen des Anbieters muss der Anwalt seine Mandanten-Akten erreichen können. Backup-Strategien mit unabhängigen Kopien sind Pflicht.

Die drei typischen Anbieter-Strategien

In der Praxis haben deutsche Kanzleien drei verschiedene Strategien für ihre Mail-Provider-Auswahl etabliert.

Strategie A: Vollständig deutscher Anbieter mit Geschäftskunden-Tarif. Mailbox.org Business ist hier der etablierte Standard. ISO-27001-zertifiziertes deutsches Rechenzentrum, AVV-Standardvertrag, NIS2-Konformität, vollwertige Office-Suite über ONLYOFFICE. Geeignet für 80 Prozent der deutschen Kanzleien.

Strategie B: Schweizer Premium-Anbieter mit erweitertem Privacy-Ökosystem. Proton Mail Business ist die Premium-Variante. Schweizer Rechtsordnung außerhalb der EU, Ende-zu-Ende-Verschlüsselung als Standard, vollständige Tool-Suite (Mail, VPN, Drive, Calendar). Geeignet für international tätige Kanzleien mit höherem Budget.

Strategie C: Hybrides Setup mit Zweit-Postfach für Hochrisiko-Mandate. Die Standard-Mailbox bei Mailbox.org oder Proton, plus ein dediziertes Zweit-Postfach für besonders sensitive Korrespondenz. Mehrere Anbieter eignen sich für dieses Zweit-Postfach. Tuta Mail verschlüsselt auch Metadaten und Betreffzeilen, was bei besonders sensitiven Mandaten relevant ist. Der norwegische Privacy-Dienst privacy.fish setzt auf SSH-Schlüssel-Anmeldung statt klassischer Passwort-Authentifizierung und verzichtet komplett auf Server-Logs — was bei behördlichen Auskunfts-Anordnungen einen strukturellen Schutz bietet, weil schlicht keine Daten existieren, die herausgegeben werden könnten.

Siehe auch:  Jugendschutz bei Online-Aktivitäten: Was Sie wissen müssen

Diese Hybrid-Strategie ist seit 2023 zunehmend Standard bei Kanzleien mit Wirtschaftsstrafrecht-Mandanten, Whistleblower-Vertretung oder politisch exponierten Mandanten.

Die § 203 StGB-Falle

Eine besonders heikle Konstellation ist § 203 Absatz 1 Nr. 3 StGB — die Verletzung von Privatgeheimnissen. Diese Strafnorm gilt explizit für Rechtsanwälte und kann mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe geahndet werden.

Die BGH-Rechtsprechung der letzten Jahre hat klargestellt: Auch fahrlässige Verletzungen können strafbar sein, wenn die technische Vorsorge gegen Datenlecks erkennbar unzureichend war. Wer als Anwalt sensitive Mandanten-Daten über ein Mail-System verarbeitet, das technisch unzureichend abgesichert ist, riskiert nicht nur berufsrechtliche Konsequenzen, sondern auch strafrechtliche Ermittlungen.

Konkret problematisch sind dabei:
– Mainstream-Anbieter ohne AVV-Standardvertrag (Gmail, Yahoo Mail, GMX)
– Anbieter ohne klaren Datenschutz-Standard
– Auto-Forwarding zu privaten E-Mail-Konten
– Cloud-Speicher ohne Verschlüsselung für Mandanten-Dokumente
– WhatsApp und Telegram für Mandanten-Korrespondenz

Verschlüsselung — wann ist sie Pflicht?

Die BRAK hat in den Hinweisen zur digitalen Kanzleipraxis 2024 klargestellt: Ende-zu-Ende-Verschlüsselung ist nicht in jedem Fall berufsrechtlich vorgeschrieben. Sie ist aber empfehlenswert für:

  • Übermittlung sensitiver Mandanten-Daten an externe Stellen
  • Strafverteidigungs-Mandate
  • Mandate mit politisch exponierten Personen
  • Hochvermögens-Mandate
  • Korrespondenz mit Wirtschaftsprüfern in sensitiven Sachverhalten

Für die meisten Mandanten-Korrespondenzen reicht die TLS-Transport-Verschlüsselung aus, sofern der Anbieter sie konsequent erzwingt (über DANE und MTA-STS). OpenPGP-Verschlüsselung ist für die genannten Hochrisiko-Konstellationen aber empfehlenswert.

Mandanten-Kommunikation außerhalb der Mailbox

Eine zunehmende Realität ist die Erwartung von Mandanten, über WhatsApp oder andere Messenger erreicht zu werden. Aus berufsrechtlicher Sicht ist das problematisch.

Die BRAK hat in einem Positionspapier von Februar 2025 empfohlen, dass Kanzleien WhatsApp und Telegram NICHT für Mandanten-Korrespondenz nutzen sollen. Signal und Threema werden als pseudo-akzeptable Alternativen aufgeführt, wenn die Mandanten ausdrücklich auf diese Kommunikationsform bestehen und die Kanzlei den Mandanten über die rechtlichen Implikationen informiert.

In der Praxis hat sich eine Lösung etabliert: Kanzleien betreiben eine separate Signal- oder Threema-Mailbox-Anbindung für Mandanten, die diese Kommunikationsform wünschen. Die wesentliche Korrespondenz wird per Mail bestätigt und archiviert.

Compliance-Audit der eigenen Kanzlei

Wer 2026 die berufsrechtliche Compliance seiner Kanzlei prüfen will, sollte fünf Fragen beantworten:

Siehe auch:  DSGVO-Entwicklung 2026: Was sich für Newsletter und E-Mail-Marketing ändert

Frage 1: Habe ich einen aktuellen AVV-Vertrag mit meinem Mailanbieter? (Sollte alle 2 Jahre aktualisiert werden.)

Frage 2: Erfüllt mein Mailanbieter die NIS2-Anforderungen? (Mailbox.org, Proton, Tuta, Mailfence: ja. Posteo: ja, ohne ISO-Zertifizierung. privacy.fish: norwegisches Äquivalent.)

Frage 3: Ist meine Mailbox-Authentifizierung mit Multi-Faktor abgesichert? (Hardware-Token wie YubiKey sind Best-Practice.)

Frage 4: Habe ich eine getrennte Mailbox-Struktur für Hochrisiko-Mandate? (Bei Strafverteidigung mit politisch exponierten Personen oder Wirtschaftsstrafrecht relevant.)

Frage 5: Wie ist meine Backup- und Aufbewahrungsstrategie? (Mindestens drei unabhängige Backup-Kopien an unterschiedlichen physischen Orten.)

Diese fünf Punkte sind kein vollständiges Compliance-Audit, decken aber die wichtigsten Risiko-Bereiche ab. Eine ausführliche jährliche Prüfung mit einem spezialisierten IT-Sicherheits-Berater ist empfehlenswert.

Fazit

Die Berufs-Schweigepflicht ist 2026 mehr als ein abstraktes berufsrechtliches Prinzip — sie ist eine konkrete Compliance-Anforderung an die digitale Infrastruktur einer Kanzlei. Wer als Anwalt die Mail-Provider-Wahl trifft, sollte das mit Bewusstsein für die rechtlichen, technischen und strafrechtlichen Implikationen tun.

Die gute Nachricht: Es gibt 2026 mehrere robuste europäische Anbieter, die alle relevanten Anforderungen erfüllen. Mailbox.org Business für die meisten klassischen Kanzleien, Proton Business für die internationale Premium-Variante, Tuta für maximale Inhalts-Verschlüsselung, privacy.fish als Spezial-Ergänzung für Hochrisiko-Mandate. Die richtige Wahl hängt vom Mandanten-Profil und der Risiko-Lage der Kanzlei ab — die falsche Wahl kann substanziellen berufs- und strafrechtlichen Schaden anrichten.

Quellen:
– § 43a BRAO (Berufs-Schweigepflicht)
– § 50 BRAO (Aufbewahrungspflicht)
– § 203 StGB (Verletzung von Privatgeheimnissen)
– Bundesrechtsanwaltskammer, Hinweise zur digitalen Kanzleipraxis (2024)
– BGH-Urteile vom 12.03.2025 und 18.09.2024
– BSI Technische Richtlinie TR-02102-1 und TR-02102-4

Redaktion
Letzte Artikel von Redaktion (Alle anzeigen)

Verwandte Posts:

Privacy-Mail für Anwälte 2026: Die 7 besten Anbieter für Mandantenschutz und BerufsgeheimnisPrivacy-Mail für Anwälte 2026: Die 7 besten Anbieter für Mandantenschutz und Berufsgeheimnis Datenschutzfolgeabschätzung: Grundlagen und DurchführungDatenschutzfolgeabschätzung: Grundlagen und Durchführung digitale Rabatte clever nutzenClever sparen mit aktuellen Gutscheinen Einarbeitung neuer Mitarbeiter im UnternehmenEinarbeitung leicht gemacht: Leitfaden für Unternehmen
TAGGED: , , , ,
Share this Article
Lost your password?