Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie europäische Wirtschaftsprüfungsgesellschaften Finanzdaten von Mandanten bei grenzüberschreitenden Projekten schützen

Wie europäische Wirtschaftsprüfungsgesellschaften Finanzdaten von Mandanten bei grenzüberschreitenden Projekten schützen

von Marc ten Eikelder updated Februar 19, 2026 DSGVO-Compliance
Lesezeit: 13 Minuten

Wenn europäische Wirtschaftsprüfungsgesellschaften grenzüberschreitende Prüfungen durchführen, durchlaufen alle Finanzdokumente eine Infrastruktur, die entweder die berufsrechtlichen Verschwiegenheitspflichten erfüllt oder strafrechtliche Haftung begründet. In Deutschland drohen nach §203 StGB Freiheitsstrafen. In Frankreich führt das secret professionnel zu Haft und Geldstrafen bis zu 15.000 €. Die Schweiz weitet den Schutz nach Artikel 321 auch auf internationale Mandanten aus. Diese Risiken sind keine abstrakten Rechtsfragen – sie hängen direkt an den Technologieentscheidungen, die Kanzleien für Speicherung und Übertragung von Mandantendaten treffen.

Table of Contents

Das strukturelle Problem: Berufsgeheimnisregelungen entstanden vor der Cloud-Ära, in der ausländische Behörden Zugriff auf Daten erhalten können. Speichert eine deutsche Wirtschaftsprüfungsgesellschaft Mandantenunterlagen auf einer Plattform mit US-Hauptsitz, können US-Behörden den Anbieter zur Herausgabe der Daten zwingen – ohne europäische Gerichte einzubeziehen, ohne die Kanzlei zu informieren und unabhängig von vertraglichen Zusicherungen. Dieser Leitfaden zeigt, wie eine konforme Architektur für grenzüberschreitende Prüfungsmandate aussieht und warum kundengesteuerte Verschlüsselung die technische Grundlage ist, um Berufsgeheimnis, DSGVO und DORA gleichzeitig zu erfüllen.

Executive Summary

Kernaussage: Europäische Wirtschaftsprüfungsgesellschaften unterliegen strafrechtlichen Sanktionen bei unbefugter Offenlegung von Mandantendaten – dennoch speichern die meisten Finanzdaten ihrer Mandanten auf Plattformen mit US-Hauptsitz, die ausländischen Behörden Zugriffswege außerhalb europäischer Rechtsrahmen eröffnen. Im Gegensatz zu Anwälten können Wirtschaftsprüfer sich nicht auf das Anwaltsprivileg berufen. Der EuGH hat entschieden, dass Wirtschaftsprüfer schwächeren Schutz genießen als Anwälte – daher ist eine souveräne Architektur der einzige verlässliche Mechanismus zur Einhaltung der Verschwiegenheitspflichten.

Warum das relevant ist: Drei der Big Four waren 2023 vom MOVEit-Datenleck betroffen, der britische Financial Reporting Council meldete 2024 insgesamt 127 Enforcement-Fälle, wobei technische Fehler eine wachsende Kategorie von Pflichtverletzungen darstellen. DORA überträgt technische Anforderungen direkt von Finanzinstituten auf deren Wirtschaftsprüfer. Kanzleien, die keine souveräne Architektur nachweisen können, sind sowohl zunehmender Aufsicht als auch systematischem Ausschluss von regulierten Branchenmandaten ausgesetzt.

5 wichtige Erkenntnisse

  1. Berufsgeheimnis ist in ganz Europa strafbewehrt, und Technologieentscheidungen wirken sich direkt auf die Compliance aus. Deutschlands §203 StGB, Frankreichs secret professionnel, die Schweizer Artikel 321, der niederländische Artikel 272 sowie britische Common-Law-Pflichten erstrecken sich auch auf Cloud-Plattformen. Es handelt sich nicht um reine IT-Entscheidungen, sondern um Fragen der Berufshaftung mit Auswirkungen auf Zulassung und Strafverfolgungsrisiko.
  2. Wirtschaftsprüfer genießen keinen Anwaltsprivileg-Schutz und benötigen daher eine stärkere souveräne Architektur. Der EuGH hat entschieden, dass Wirtschaftsprüfer weniger Schutz als Anwälte erhalten. Während Anwälte CCBE-Cloud-Leitlinien und ab 2025 Vertragsschutz genießen, müssen Wirtschaftsprüfer auf technische Kontrollen statt auf das Anwaltsprivileg setzen – die Architektur ist also die primäre Verteidigung und kein bloßer Zusatz zum Rechtsschutz.
  3. DORA-Anforderungen gehen von Finanzinstituten direkt auf deren Wirtschaftsprüfer über. Artikel 30 verlangt Verträge, die Datensouveränität, Schlüsselverwaltung und Exit-Strategien regeln. Beauftragen Banken Wirtschaftsprüfer, gelten diese technischen Anforderungen auch für die Plattformen, auf denen Mandantendaten verarbeitet werden – die Anbieterarchitektur wird damit zum direkten Compliance-Thema für Kanzleien mit Finanzkunden.
  4. Grenzüberschreitende Mandate schaffen Compliance-Lücken, wenn Mandantendaten verschiedene Rechtsräume durchqueren. Eine deutsche Kanzlei, die eine französische Tochter eines Schweizer Konzerns prüft, verarbeitet Daten unter drei Verschwiegenheitsregimen, während der CLOUD Act US-Zugriff unabhängig vom Speicherort ermöglicht. Standardvertragsklauseln können staatliche Souveränität nicht aushebeln – das gelingt nur durch technische Architektur.
  5. Große Wirtschaftsprüfungsgesellschaften sind trotz erheblicher Sicherheitsinvestitionen anhaltenden Bedrohungen ausgesetzt. Drei Big Four waren von MOVEit betroffen. Der Vorfall bei Sax LLP blieb 16 Monate unentdeckt. Deloitte zahlte 5 Millionen Dollar nach vier Monaten unbemerktem Zugriff. Berufshaftpflichtversicherer prüfen inzwischen die Technologiearchitektur und verlangen souveräne Bereitstellungsoptionen. Manche Policen schließen Schäden aus, wenn der Anbieter die Kontrolle über die Verschlüsselungsschlüssel behält.

Berufsgeheimnis-Pflichten, die europäische Wirtschaftsprüfer nicht delegieren können

Das Berufsgeheimnis für Wirtschaftsprüfer ist in ganz Europa strafbewehrt, doch diese Regelungen stammen aus einer Zeit vor den Cloud-Zugriffswegen ausländischer Behörden. Daraus ergibt sich ein struktureller Konflikt: Pflichten, die für Papierakten galten, gelten nun für Infrastrukturen, auf die die Kanzlei nicht mehr alleinigen technischen Zugriff hat.

Deutschlands §203 StGB und §43 WPO schaffen strafrechtliche Haftung, die sich auf Technologieplattformen erstreckt

§43 WPO verpflichtet Wirtschaftsprüfer zur Verschwiegenheit, §203 StGB stellt unbefugte Offenlegung unter Strafe und sieht Freiheitsstrafen für Verantwortliche vor. Über 15.000 Berufsträger unterliegen diesen Pflichten. Das Institut der Wirtschaftsprüfer betont ausdrücklich, dass sich das Berufsgeheimnis nach §43 WPO auf alle technischen Systeme erstreckt und dass Wirtschaftsprüfer ihre Pflichten nicht über Plattformen erfüllen können, bei denen Anbieter Zugriff auf Entschlüsselungsschlüssel haben. Speichern Kanzleien Mandantendaten auf US-kontrollierter Infrastruktur, entstehen Offenlegungspfade außerhalb deutscher Kontrolle – unabhängig von vertraglichen Zugriffsverboten.

Frankreich, die Schweiz und die Niederlande legen Wirtschaftsprüfern vergleichbare strafrechtliche Verschwiegenheitspflichten auf

Frankreichs Artikel L. 822-15 Code de Commerce verpflichtet commissaires aux comptes zum secret professionnel; Verstöße nach Artikel 226-13 Strafgesetzbuch führen zu Haft und Geldstrafen bis 15.000 €. Die CNIL betont, dass Wirtschaftsprüfer auch bei Nutzung von Drittanbietern für den Schutz der Mandantendaten verantwortlich bleiben – Outsourcing entbindet nicht von der Pflicht. Die Schweiz schützt das Berufsgeheimnis von Wirtschaftsprüfern und Steuerberatern nach Artikel 321 StGB, auch für internationale Mandanten außerhalb der Schweiz. Die Niederlande regeln das Berufsgeheimnis für NBA-registrierte Wirtschaftsprüfer in Artikel 272 StGB, und die niederländische Datenschutzbehörde betont, dass sich das Berufsgeheimnis auf digitale Systeme und Cloud-Infrastrukturen erstreckt.

Das EuGH-Urteil zu schwächerem Schutz für Wirtschaftsprüfer macht technische Architektur zur wichtigsten Verteidigung

Im Vereinigten Königreich gilt die berufsrechtliche Vertraulichkeitspflicht nach Common Law, gestützt durch FRC- und ICAEW-Standards. Auch ohne strafrechtliche Vorschriften führen Verstöße zu zivilrechtlicher Haftung, berufsrechtlichen Sanktionen und ggf. Strafverfolgung nach Computer Misuse Act 1990 oder Data Protection Act 2018 – der FRC identifizierte 2024 in 127 Enforcement-Fällen eine wachsende Zahl technischer Pflichtverletzungen. Entscheidend: Das EuGH-Urteil Ordre des barreaux francophones stellt klar, dass Wirtschaftsprüfer weniger strengen Schutz als Anwälte genießen. Kanzleien können sich daher nicht auf das Anwaltsprivileg berufen, sondern müssen eine technische Architektur implementieren, die unbefugten Infrastrukturzugriff technisch unmöglich macht – kundengesteuerte Verschlüsselung, bei der Anbieter ohne Mitwirkung der Kanzlei keinen Zugriff auf Mandantendaten haben.

Eine vollständige Checkliste für DSGVO-Compliance

Jetzt lesen

DSGVO- und DORA-Technologieanforderungen für Wirtschaftsprüfungsgesellschaften

Die DSGVO legt grundlegende Sicherheitsanforderungen fest, während DORA diese um technische Vorgaben ergänzt, die von Finanzinstituten auf deren Wirtschaftsprüfer übergehen. Zusammen entsteht ein Compliance-Rahmen, der sich nicht allein durch Verträge erfüllen lässt.

DSGVO Artikel 32 verlangt Verschlüsselung, die nur dann ausreichend schützt, wenn die Kanzlei alleinige Schlüsselkontrolle hat

Artikel 32 DSGVO fordert „geeignete technische und organisatorische Maßnahmen“ einschließlich Verschlüsselung, Vertraulichkeit, Integrität und Verfügbarkeit. Das Prinzip aus Artikel 5(1)(f) verlangt Schutz vor unbefugter Verarbeitung – ein Anspruch, der mit Architekturen kollidiert, bei denen Anbieter Zugriff auf Mandantendaten haben, da solche Systeme keinen Schutz gewährleisten können, wenn Anbieter rechtlich zur Herausgabe gezwungen werden. Die Leitlinien der Artikel-29-Datenschutzgruppe sind eindeutig: Verschlüsselung bietet nur dann ausreichenden Schutz, wenn die Kanzlei alleinige Kontrolle über die Entschlüsselungsschlüssel behält. Anbieterverwaltete Verschlüsselung erfüllt die Form, aber nicht den Inhalt der Anforderung.

Schrems II stellte klar, dass Standardvertragsklauseln nicht ausreichen, wenn Drittstaaten Zugriff auf Daten haben

Schrems II stellte fest, dass Standardvertragsklauseln keinen ausreichenden Schutz bieten, wenn Daten in Länder mit Überwachungsbefugnissen ohne europäisches Schutzniveau übertragen werden. Der EuGH befasste sich mit Situationen, in denen Drittstaaten öffentlichen Behörden Zugriff über das notwendige Maß hinaus gewähren – genau das gilt für US-Cloud-Anbieter unter dem CLOUD Act. Die Leitlinien des EDPB verlangen, dass Verantwortliche prüfen, ob das Recht oder die Praxis im Drittland die Wirksamkeit der Schutzmaßnahmen beeinträchtigt, und bei Bedarf ergänzende technische Maßnahmen umsetzen. Für Wirtschaftsprüfer heißt das: Standardvertragsklauseln müssen durch kundengesteuerte Verschlüsselung ergänzt werden und reichen nicht allein aus.

DORA Artikel 30 überträgt technische Anforderungen direkt von Finanzinstituten auf deren Wirtschaftsprüfer

DORA Artikel 28(5) verpflichtet Finanzunternehmen zur Bewertung von ICT-Drittanbietern, während Artikel 30 Verträge mit Sicherheitsmaßnahmen einschließlich Datenschutz und Verschlüsselung verlangt. Beauftragen Finanzinstitute Wirtschaftsprüfer, gelten diese Anforderungen auch für deren Plattformen. Artikel 30(2)(j) verlangt Regelungen zum Speicherort, Artikel 30(2)(k) zu Zugriff, Wiederherstellung, Rückgabe und Löschung von Daten. Verträge, die nur die Speicherung in EU-Rechenzentren zusichern, reichen nicht aus, wenn Betreiber technischen Zugriff von außerhalb der EU haben. Artikel 28(3) verlangt Exit-Strategien, die vollständige Datenlöschung ermöglichen – und damit Architekturen, die Anbieterbindung verhindern und Migration ohne Mitwirkung des Anbieters erlauben.

Grenzüberschreitende Mandate verschärfen Risiken für die Datensouveränität

Grenzüberschreitende Prüfungen führen dazu, dass Mandantendaten mehreren Berufsgeheimnisregimen unterliegen, während die Infrastruktur einer ganz anderen staatlichen Kontrolle unterliegt. Die Compliance-Lücke ist nicht theoretisch – sie ist strukturell und wächst mit jeder weiteren beteiligten Rechtsordnung.

Mandate in mehreren Rechtsordnungen unterwerfen Arbeitsunterlagen gleichzeitig mehreren Berufsgeheimnisregimen

Eine deutsche Kanzlei, die eine französische Tochter eines Schweizer Konzerns mit niederländischen Aktivitäten prüft, erzeugt Arbeitsunterlagen, die deutschem §43 WPO, französischem Code de Commerce, Schweizer Artikel 321 und ggf. niederländischem Berufsgeheimnis unterliegen. Jede Rechtsordnung definiert, wer Zugriff haben darf – und die Kanzlei muss dies technisch durchsetzen, nicht über Mandatsvereinbarungen oder Auftragsverarbeitungsverträge, sondern durch Kontrollen, die unbefugten Zugriff technisch unmöglich machen – unabhängig davon, aus welchem Land eine Anordnung kommt.

Der CLOUD Act ermöglicht US-Behörden Zugriff auf europäische Mandantendaten – unabhängig vom Speicherort

Speichern Kanzleien Arbeitsunterlagen auf Plattformen mit US-Hauptsitz, können US-Behörden die Herausgabe verlangen – unabhängig vom physischen Speicherort der Daten. Das Gesetz gilt für US-Personen und -Unternehmen, auch wenn sie „nicht physisch in den Vereinigten Staaten ansässig“ sind. Selbst bei EU-Rechenzentren und Verträgen über europäische Speicherung kann der Betreiber US-Anordnungen unterliegen, die diese Regelungen aushebeln. Das Problem ist real: Im Fall United States v. Microsoft forderte die US-Regierung Zugriff auf in Irland gespeicherte E-Mails – und das Prinzip gilt bis heute: Europäische Daten unter Kontrolle von US-Unternehmen unterliegen US-Recht, egal wo sie gespeichert sind. National Security Letters und FISA-Anordnungen verbieten die Benachrichtigung der Betroffenen und lassen sich nicht vor europäischen Gerichten anfechten.

Geolokalisierung regelt den physischen Speicherort, aber nicht die rechtliche oder technische Kontrolle

Geolokalisierungsmaßnahmen bestimmen den physischen Speicherort, ändern aber weder die rechtlichen Pflichten des Anbieters noch dessen technische Zugriffsmöglichkeiten. Der Standort des Servers ist nicht gleichbedeutend mit rechtlicher und technischer Kontrolle – nur Letztere bestimmen die Souveränität. Die Schrems II-Leitlinien des EDPB sind eindeutig: Verantwortliche können sich nicht allein auf Standardvertragsklauseln verlassen, wenn technische Maßnahmen keinen Schutz vor staatlichem Zugriff gewährleisten. Standardvertragsklauseln schaffen vertragliche Pflichten zwischen den Parteien, können aber keine staatliche Souveränität aushebeln. Kundengesteuerte Verschlüsselung mit exklusiver Schlüsselkontrolle der Kanzlei ist der einzige Mechanismus, der technischen Anbieterzugriff unabhängig von staatlichen Anordnungen ausschließt – weil der Anbieter technisch nicht in der Lage ist, Daten herauszugeben, statt nur rechtlich daran gehindert zu sein.

Sicherheitsvorfälle zeigen Risiken durch Drittinfrastruktur

Jüngste Vorfälle bei großen Wirtschaftsprüfungsgesellschaften zeigen: Auch ausgefeilte Cybersicherheitsprogramme beseitigen nicht die Risiken, die entstehen, wenn Anbieter technischen Zugriff auf Daten behalten.

Der MOVEit-Vorfall und weitere Ereignisse zeigen: Selbst Big-Four-Investitionen eliminieren das Drittanbieterrisiko nicht

Die MOVEit-Sicherheitslücke 2023 betraf drei Big Four und legte M&A-Mandantendaten durch SQL-Injection in weit verbreiteter File-Transfer-Software offen – trotz hoher Sicherheitsbudgets und ausgefeilter Programme. Sax LLP meldete Ende 2025, dass ein Vorfall aus 2024 die Daten von 228.000 Personen kompromittierte und 16 Monate unentdeckt blieb. Deloitte zahlte Rhode Island 5 Millionen Dollar für einen Vorfall, bei dem Angreifer trotz hunderter Firewall-Warnungen vier Monate lang Zugriff hatten. Wenn große Kanzleien auf Drittinfrastruktur anhaltenden Bedrohungen ausgesetzt sind, stehen kleinere Kanzleien mit weniger Ressourcen vor noch größeren Risiken.

Berufshaftpflichtversicherer und Aufsichtsbehörden prüfen Technologiearchitektur als Compliance-Thema

Berufshaftpflichtversicherer reagieren auf diese Vorfälle mit verstärkter Prüfung der Technologiearchitektur. Einige Anbieter verlangen inzwischen souveräne Bereitstellungsoptionen für grenzüberschreitende Mandate. Manche Policen schließen Schäden aus, wenn Anbieter administrativen Zugriff oder Kontrolle über Verschlüsselungsschlüssel behalten – sie behandeln Anbieterzugriff als bekanntes, steuerbares Risiko, das die Kanzlei bewusst nicht ausgeschlossen hat. Der britische FRC führt Kontrollversagen in der Technologie inzwischen als eigene Kategorie in Enforcement-Fällen. Die deutsche Wirtschaftsprüferkammer betont, dass sich die Pflichten aus §43 WPO auf Technologieentscheidungen erstrecken und nicht an Anbieter delegiert werden können. Liegen Mandantendaten auf Systemen, auf die Anbieter technisch zugreifen können, entstehen Offenlegungspfade sowohl durch Kompromittierung als auch durch staatlichen Zwang – und nur eine Architektur, bei der Mandantendaten ausschließlich unter Kanzleischlüsseln verschlüsselt bleiben, beseitigt beide Risiken.

Kundengesteuerte Verschlüsselungsarchitektur erfüllt Berufsgeheimnis

Die technische Architektur, die Berufsgeheimnis, DSGVO und DORA gleichzeitig erfüllt, basiert auf einem Prinzip: Mandantendaten bleiben unter Schlüsseln verschlüsselt, die ausschließlich die Kanzlei kontrolliert. Alles Weitere baut darauf auf.

Von der Kanzlei kontrollierte HSMs stellen sicher, dass Anbieter technisch keinen Zugriff auf Mandantendaten haben

Kundengesteuerte Verschlüsselung beginnt mit der Schlüsselgenerierung und -speicherung unter exklusiver Kontrolle der Kanzlei. Die Schlüssel werden in Hardware-Sicherheitsmodulen (HSMs) erzeugt, die manipulationssicheren Schutz bieten und physisch in der Kanzlei verbleiben oder bei europäischen Anbietern mit Schlüsselsouveränität betrieben werden. Gelangen Mandantendaten über sichere E-Mail, Filesharing oder Managed File Transfer ins System, werden sie sofort mit den HSM-Schlüsseln der Kanzlei verschlüsselt. Die verschlüsselten Daten können dann auf beliebiger Infrastruktur gespeichert werden, da Anbieter sie nicht entschlüsseln können – selbst bei staatlichen Anordnungen oder Sicherheitsvorfällen bleiben Mandantendaten geschützt. Das adressiert direkt das strukturelle Problem, das das EuGH-Urteil für Wirtschaftsprüfer schafft: Rechtlicher Schutz kann technische Architektur nicht ersetzen – aber eine Architektur, die Zugriff technisch unmöglich macht, erzielt das gleiche praktische Ergebnis.

Die Architektur erfüllt DSGVO Artikel 32, DORA Artikel 30 und nationale Berufsgeheimnisgesetze in einer Umsetzung

Kundengesteuerte Verschlüsselung erfüllt die gesamte Compliance-Matrix gleichzeitig. Sie erfüllt die Verschlüsselungsanforderungen aus DSGVO Artikel 32 und die Leitlinien der Artikel-29-Datenschutzgruppe, wonach Verschlüsselung nur dann ausreichend schützt, wenn die Kanzlei alleinige Kontrolle über die Entschlüsselungsschlüssel hat. Sie erfüllt DORA-Anforderungen, indem nur die Kanzlei Zugriff auf Klartextdaten hat – und damit die technischen Architekturpflichten, die Finanzkunden vertraglich an ihre Dienstleister weitergeben müssen. Sie erfüllt Berufsgeheimnispflichten in Deutschland, Frankreich, der Schweiz, den Niederlanden und Großbritannien, indem sie Offenlegungspfade auf kryptografischer Ebene ausschließt, statt sich auf vertragliche Verbote zu verlassen, die ausländische Behörden nicht binden.

Flexible Bereitstellung ermöglicht Kanzleien, souveräne Architektur an Betriebsgröße und Mandantenanforderungen anzupassen

Flexible Bereitstellung verbindet Datensouveränität mit betrieblichen Anforderungen. Vollständige On-Premises-Bereitstellung bietet maximale Kontrolle für Kanzleien mit besonders sensiblen Mandaten. Private Cloud oder gehärtete virtuelle Appliances in europäischen Rechenzentren bieten vergleichbare Souveränität bei reduziertem Infrastrukturaufwand für Kanzleien, die die Architektur benötigen, aber keine eigene On-Premises-Expertise vorhalten. Bei grenzüberschreitenden Mandaten bleiben Daten während ihres gesamten Lebenszyklus unter Kanzleischlüsseln verschlüsselt – Zugriffsrechte regeln, wer welche Dokumente entschlüsseln darf, aber die Schlüsselkontrolle bleibt immer bei der Kanzlei, unabhängig vom Standort der Teammitglieder.

Umsetzungsaspekte

Der Umstieg auf eine souveräne Architektur erfordert Planung für technische Migration, Workflow-Integration und regulatorische Dokumentation – die Reihenfolge ist dabei ebenso wichtig wie die technischen Entscheidungen.

Die Analyse aktueller Datenflüsse zeigt, welche Systeme souveräne Architektur benötigen und welche nicht

Die technische Analyse beginnt mit der Erfassung der aktuellen Datenflüsse. Identifizieren Sie, welche Flüsse Mandantendaten betreffen, die dem Berufsgeheimnis unterliegen, und welche interne Geschäftsdaten sind, für die weniger strenge Kontrollen ausreichen. Nicht alle Kanzleidaten benötigen kundengesteuerte Verschlüsselung – aber alle Finanzdaten von Mandanten, Arbeitsunterlagen und Kommunikation mit vertraulichen Mandantendaten schon. Diese Abgrenzung bestimmt den Umfang der Bereitstellung und die Schlüsselarchitektur und verhindert den Fehler, souveräne Architektur auf alle Datenflüsse statt gezielt auf die für Berufsgeheimnis und DSGVO relevanten anzuwenden.

Die Schlüsselarchitektur ist die wichtigste Entscheidung und muss zu den regulatorischen Erwartungen jeder Rechtsordnung passen

Die Schlüsselarchitektur ist die entscheidende Implementierungsfrage. Entscheiden Sie, ob On-Premises-HSMs, Cloud-basierte HSM-Services europäischer Anbieter oder gehärtete virtuelle Appliances genutzt werden. Größere Kanzleien bevorzugen oft On-Premises-HSMs für maximale Kontrolle und weil DORA-regulierte Finanzkunden dies vertraglich verlangen können. Kleinere Kanzleien wählen oft europäische HSM-Services mit geringerem Betriebsaufwand. Entscheidend bei allen Optionen: Die Schlüssel bleiben ausschließlich unter Kanzleikontrolle und sind für Anbieter niemals zugänglich – auch nicht für Notfall-Support, Backups oder staatliche Anordnungen an den Anbieter.

Regulatorische Dokumentation sollte Architektur-Compliance proaktiv nachweisen, nicht erst auf Nachfrage

Regulatorische Dokumentation sollte zeigen, wie die technische Architektur DSGVO Artikel 32, DORA-Anforderungen und nationale Berufsgeheimnispflichten erfüllt. Fügen Sie Architekturdiagramme, Schlüsselmanagement-Prozesse, Zugriffskontrollrichtlinien, Incident-Response-Prozesse und vertragliche Zusicherungen bei, dass Anbieter keinen Zugriff auf Mandantendaten haben. Anspruchsvolle Mandanten – insbesondere DORA-regulierte Finanzinstitute – fordern zunehmend technische Anhänge zur Sicherheitsarchitektur noch vor Mandatsbeginn. Kanzleien, die diese Dokumentation proaktiv vorlegen können, verschaffen sich Wettbewerbsvorteile bei regulierten Mandaten; wer sie erst auf Nachfrage zusammenstellen muss, hat es schwerer.

Kiteworks ermöglicht europäischen Wirtschaftsprüfungsgesellschaften die Einhaltung des Berufsgeheimnisses durch souveräne Architektur

Europäische Wirtschaftsprüfungsgesellschaften stehen vor einer Compliance-Anforderung, die sich nicht durch Verträge erfüllen und nicht durch das Anwaltsprivileg abdecken lässt: Berufsgeheimnispflichten, die sich auf Technologieentscheidungen erstrecken, kombiniert mit DSGVO- und DORA-Anforderungen, die technische Kontrollen statt vertraglicher Zusagen verlangen. Kundengesteuerte Verschlüsselung ist die Architektur, die diese Lücke schließt – sie stellt sicher, dass Anbieter technisch keinen Zugriff auf Mandantendaten haben, unabhängig von staatlichen Anordnungen, und schafft die Nachweiskette, die Regulatoren, Aufsichtsbehörden und DORA-regulierte Mandanten zunehmend vor Mandatsbeginn verlangen.

Kiteworks bietet eine kundengesteuerte Verschlüsselungsarchitektur, mit der europäische Wirtschaftsprüfungsgesellschaften Berufsgeheimnispflichten in Deutschland, Frankreich, der Schweiz, den Niederlanden und Großbritannien erfüllen und gleichzeitig DSGVO Artikel 32 und DORA-Technologieanforderungen nachkommen. Die Plattform nutzt von der Kanzlei kontrollierte Verschlüsselungsschlüssel, die nie die Infrastruktur der Kanzlei verlassen – Mandantendaten bleiben geschützt, selbst wenn Kiteworks staatliche Anordnungen erhält oder Sicherheitsvorfälle auftreten, da wir technisch keinen Zugriff auf Kundendaten haben.

Flexible Bereitstellungsoptionen umfassen On-Premises-Installation im eigenen Rechenzentrum, Private-Cloud-Bereitstellung in europäischen Einrichtungen unter Kanzleikontrolle oder gehärtete virtuelle Appliances, die Vorteile souveräner Architektur mit reduziertem Infrastrukturaufwand verbinden. Kanzleien können in Deutschland bereitstellen, um BfDI-Leitlinien zu erfüllen, in Frankreich für CNIL-Anforderungen, in der Schweiz für Bankgeheimnis-Compliance oder an anderen europäischen Standorten entsprechend den betrieblichen und Mandantenanforderungen.

Die Plattform integriert sichere E-Mail, Filesharing, Managed File Transfer und Web-Formulare in eine einheitliche Architektur, sodass Kanzleien alle Mandantendatenübertragungen über eine einzige souveräne Plattform steuern. Das vereinfacht das Schlüsselmanagement, reduziert die Angriffsfläche durch Wegfall mehrerer Anbieterbeziehungen und bietet einheitliche Audit-Logs, die FRC, Wirtschaftsprüferkammer und vergleichbare Aufsichtsbehörden fordern.

Erfahren Sie mehr – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Hyperscale-Anbieter verwalten die Verschlüsselungsschlüssel selbst und können Kundendaten technisch entschlüsseln, wenn sie von Behörden dazu verpflichtet werden. Bei kundengesteuerter Verschlüsselung erzeugen, kontrollieren und speichern Wirtschaftsprüfungsgesellschaften die Schlüssel ausschließlich selbst – in Hardware-Sicherheitsmodulen, die nie Schlüsselmaterial an den Anbieter weitergeben. Das ist für die Compliance entscheidend, denn Deutschlands §203 StGB, Frankreichs secret professionnel und die Schweizer Artikel 321 verlangen, technische Zugriffsmöglichkeiten für Unbefugte zu verhindern – nicht nur vertragliche Verbote. Verwaltet der Anbieter die Schlüssel, führt eine staatliche Anordnung beim Anbieter zu lesbaren Mandantendaten. Liegt die Schlüsselkontrolle bei der Kanzlei, erhält der Anbieter im gleichen Fall nur Chiffretext – und erfüllt damit die Verschwiegenheitspflicht, die das Anwaltsprivileg nicht abdecken kann.

Mandatsvereinbarungen sollten Folgendes regeln: Bereitstellungsort (On-Premises oder bestimmte europäische Rechenzentren), Verschlüsselungsmethode mit expliziter Bestätigung der kundengesteuerten Schlüsselkontrolle, Zugriffsrechte für berechtigte Personen, Verfahren zur Datenaufbewahrung und sicheren Löschung sowie Meldepflichten bei Vorfällen. Für DORA-regulierte Finanzinstitute sollten die einschlägigen Artikel-30-Anforderungen benannt werden. Ergänzen Sie Zusicherungen, dass die Architektur ergänzende Maßnahmen über Standardvertragsklauseln hinaus bietet, wie von Schrems II gefordert. Anspruchsvolle Mandanten fordern zunehmend technische Anhänge zur Sicherheitsarchitektur – Kanzleien mit bereits implementierter souveräner Architektur können diese proaktiv vorlegen, statt sie unter Mandantendruck zusammenzustellen.

Richten Sie eine souveräne Architektur für mandantenbezogene Kommunikation ein und nutzen Sie bestehende Plattformen weiterhin für interne Kommunikation während der Übergangsphase. Implementieren Sie für Mandantenkommunikation, Arbeitsunterlagen und Finanzdokumente zuerst souveräne Plattformen. Konfigurieren Sie das E-Mail-Routing so, dass Mandantennachrichten automatisch über die souveräne Plattform laufen. Legen Sie Richtlinien fest, dass Mandantendokumente ausschließlich über die souveräne Plattform ausgetauscht werden. Migrieren Sie schrittweise: Beginnen Sie mit Neumandaten, wechseln Sie laufende Mandate zu geeigneten Zeitpunkten und migrieren Sie anschließend Altdaten – so stellen Sie sicher, dass ab dem Stichtag alle neuen Mandantendaten über Infrastruktur mit exklusiver Kanzleischlüsselkontrolle laufen, was für das Berufsgeheimnis besonders kritisch ist.

Bei korrekt implementierter kundengesteuerter Verschlüsselung ist dieses Szenario technisch unmöglich, da der Anbieter keinen Zugriff auf Klartextdaten hat. Wird jedoch eine Plattform genutzt, bei der der Anbieter die Schlüssel verwaltet, besteht die Verschwiegenheitspflicht weiterhin – und es entsteht strafrechtliche Haftung nach §203 StGB, Artikel 226-13 in Frankreich oder Artikel 321 in der Schweiz für die unbefugte Offenlegung. In diesem Fall sollten Kanzleien umgehend Rechtsberatung einholen, betroffene Mandanten (soweit zulässig) informieren und den Vorfall als Anlass für eine dringende Migration auf souveräne Architektur nehmen. Berufshaftpflichtversicherer schließen zunehmend Schäden aus, wenn Anbieter Zugriff hatten – sie werten dies als bekanntes Risiko, das die Kanzlei bewusst nicht ausgeschlossen hat.

Standardvertragsklauseln schaffen vertragliche Pflichten zwischen den Parteien, können aber staatliche Souveränität oder behördlich erzwungene Offenlegung nicht verhindern. Die Schrems II-Leitlinien des EDPB betonen, dass Standardvertragsklauseln allein keinen ausreichenden Schutz bieten, wenn Drittstaaten Behördenzugriff über das notwendige Maß hinaus erlauben. Empfohlene ergänzende Maßnahmen sind vor allem technische Schutzvorkehrungen, die Daten für Unbefugte unlesbar machen – insbesondere Verschlüsselung unter kundengesteuerten Schlüsseln, die das EDPB als wirksam hervorhebt. Standardvertragsklauseln sollten immer mit kundengesteuerter Verschlüsselung kombiniert werden: Der Vertrag regelt, was die Parteien vereinbaren, die Verschlüsselungsarchitektur verhindert, was kein Vertrag verhindern kann – die Offenlegung durch staatliche Anordnung.

Weitere Ressourcen

  • Blogbeitrag
    Datensouveränität: Best Practice oder regulatorische Pflicht?
  • eBook
    Datensouveränität und DSGVO
  • Blogbeitrag
    Vermeiden Sie diese Fallstricke bei der Datensouveränität
  • Blogbeitrag
    Best Practices für Datensouveränität
  • Blogbeitrag
    Datensouveränität und DSGVO [Verständnis von Datensicherheit]

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks