Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie europäische Anwaltskanzleien den Anwaltsgeheimnisschutz und die Vertraulichkeit von Mandantendaten gegenüber ausländischen Behörden wahren

Wie europäische Anwaltskanzleien den Anwaltsgeheimnisschutz und die Vertraulichkeit von Mandantendaten gegenüber ausländischen Behörden wahren

von John Lynch updated Februar 19, 2026 Sicheres Filesharing
Lesezeit: 13 Minuten

Das Anwaltsgeheimnis bildet die Grundlage der Beziehung zwischen Anwalt und Mandant in allen europäischen Rechtsordnungen. Ob als Anwaltsgeheimnis nach dem deutschen Bundesrechtsanwaltsgesetz und Strafgesetzbuch, secret professionnel nach dem französischen Gesetz vom 31. Dezember 1971 oder legal professional privilege im Common Law Irlands – das Prinzip bleibt gleich: Mandanten müssen darauf vertrauen können, dass ihre Kommunikation mit dem Anwalt absolut vertraulich bleibt und nicht offengelegt wird.

Table of Contents

Diese grundlegende Schutzfunktion wird heute strukturell durch eine Technologieentscheidung untergraben, die viele Kanzleien getroffen haben, ohne die Konsequenzen vollständig zu bedenken. Nutzt eine europäische Kanzlei Filesharing-Plattformen, E-Mail-Systeme oder Collaboration-Tools von US-basierten Anbietern, unterliegen sämtliche privilegierte Kommunikation und vertrauliche Mandantendokumente, die über diese Plattformen laufen, potenziell dem Zugriff nach dem US CLOUD Act. Der Anbieter kann zur Herausgabe von Daten gezwungen werden – unabhängig vom Speicherort, ohne Benachrichtigung der Kanzlei oder ihrer Mandanten und ohne Beteiligung eines europäischen Gerichtsverfahrens.

Dieser Leitfaden zeigt, wie europäische Kanzleien durch architektonische Entscheidungen das Anwaltsgeheimnis und die Vertraulichkeit der Mandantenkommunikation wahren können, indem sie privilegierte Inhalte dem Zugriff ausländischer Behörden entziehen.

Executive Summary

Kernaussage: Europäische Kanzleien unterliegen berufsrechtlichen Verschwiegenheitspflichten, die in vielen Ländern strafrechtlich durchsetzbar sind. Tauschen Anwälte jedoch privilegierte Kommunikation über US-basierte Plattformen aus, entsteht ein technischer Pfad, der ausländischen Behörden Zugriff ohne europäische richterliche Genehmigung ermöglicht. Die Frage der Datensouveränität ist für Kanzleien keine abstrakte, sondern entscheidet darüber, ob die technische Infrastruktur den übernommenen rechtlichen Verpflichtungen entspricht.

Warum das relevant ist: Die Cloud-Computing-Leitlinien des CCBE vom Februar 2025 fordern Anwälte explizit auf, zu prüfen, ob Cloud-Anbieter nicht der Gerichtsbarkeit mit extraterritorialen Gesetzen zur Datenherausgabe an Nicht-EU-Behörden unterliegen. Zudem haben bereits 65 % der britischen Kanzleien einen Cybervorfall erlebt. Mandanten aus regulierten Branchen verlangen zunehmend Nachweise zur Daten-Governance von externen Beratern. Kanzleien, die keine souveräne Architektur für privilegierte Kommunikation nachweisen können, riskieren Mandatsverluste an Wettbewerber mit entsprechenden Lösungen.

5 wichtige Erkenntnisse

  1. Berufsgeheimnis ist eine gesetzliche Pflicht, keine Präferenz, und in vielen Ländern strafbewehrt. Nach §203 StGB ist die unbefugte Offenbarung von Mandantendaten eine Straftat. In Frankreich gilt das Berufsgeheimnis als Teil der öffentlichen Ordnung. Diese Pflichten erstrecken sich auch auf die technischen Entscheidungen zur Speicherung und Übertragung privilegierter Kommunikation.
  2. Der CLOUD Act schafft einen strukturellen Umgehungsweg für europäische Privilegien. Nutzt eine Kanzlei Kommunikationsplattformen von US-Anbietern, können diese zur Herausgabe von Daten nach US-Recht gezwungen werden – ohne europäische richterliche Genehmigung und ohne Benachrichtigung der Kanzlei. Nur kundengesteuerte Verschlüsselung eliminiert dieses Risiko technisch.
  3. Die Europaratskonvention zum Anwaltsberuf 2025 setzt neue Mindeststandards für den Schutz privilegierter Kommunikation. Die im März 2025 verabschiedete und von 18 Ländern unterzeichnete Konvention stärkt das Recht der Anwälte auf vertrauliche Mandantenkommunikation. Artikel 7 adressiert explizit staatliche Überwachung und schafft einen verbindlichen internationalen Rahmen, den technische Lösungen unterstützen müssen.
  4. Grenzüberschreitende Mandate erhöhen die Risiken für das Anwaltsgeheimnis. Koordiniert eine Magic-Circle-Kanzlei eine multinationale M&A-Transaktion, fließen privilegierte Dokumente zwischen Büros in London, Frankfurt, Paris und Amsterdam über gemeinsame Plattformen. Jeder Datentransfer über eine nicht-souveräne Plattform vervielfacht die juristische Exponierung aller privilegierten Dokumente.
  5. Anspruchsvolle Mandanten prüfen inzwischen die Dateninfrastruktur ihrer externen Kanzleien. Finanzinstitute unter DORA, Pharmaunternehmen zum Schutz von klinischen Studien und geistigem Eigentum sowie Rüstungsunternehmen mit CMMC-Vorgaben bewerten die Souveränität der Plattformen ihrer Kanzleien als Teil der Lieferantenbewertung. Kanzleien ohne souveräne Architektur riskieren Mandatsverluste in den am stärksten regulierten und wertvollsten Branchen.

Rechtlicher Rahmen für das Berufsgeheimnis in Europa

Nationale Verschwiegenheitsregeln verfolgen ein gemeinsames Ziel, das technische Lösungen respektieren müssen

Das europäische Anwaltsgeheimnis wird durch unterschiedliche nationale Mechanismen umgesetzt, verfolgt aber ein gemeinsames Ziel: Mandanten müssen mit ihren Anwälten vertraulich kommunizieren können. In Deutschland basiert das Berufsgeheimnis auf zwei Säulen – §43a Abs. 2 BRAO verpflichtet zur Verschwiegenheit, §203 Abs. 1 Nr. 3 StGB stellt die unbefugte Offenbarung unter Strafe (bis zu einem Jahr Freiheitsstrafe). Die Reform des §203 StGB von 2017 erweiterte den Personenkreis, an den Geheimnisse weitergegeben werden dürfen (u. a. IT-Dienstleister), belegte diese Dritten aber mit eigener Strafbarkeit und verpflichtete Anwälte, sie zur Verschwiegenheit zu verpflichten.

Frankreich behandelt das Berufsgeheimnis als öffentliche Ordnung ohne technische Ausnahmen

Frankreich misst dem Berufsgeheimnis besondere Bedeutung bei. Artikel 66-5 des Gesetzes vom 31. Dezember 1971 umfasst sämtliche Kommunikation zwischen Anwalt und Mandant, zwischen Anwälten sowie alle Aktenunterlagen. Artikel 2 der Nationalen Berufsordnung stuft das Berufsgeheimnis als Teil der öffentlichen Ordnung ein. Der Conseil National des Barreaux fordert, dass Anwälte gerade bei digitaler Kommunikation „besonders vorbildlich“ agieren und bezeichnet das Berufsgeheimnis als „Schlüsselprinzip“, das durch technischen Fortschritt nicht abgeschwächt wird. Vergleichbare Pflichten bestehen in der gesamten EU – Italiens Artikel 622 StGB, das polnische Anwaltsgesetz, die Rechtsprechung des niederländischen Hoge Raad und §9 der österreichischen Rechtsanwaltsordnung machen das Berufsgeheimnis zu einer verbindlichen, durchsetzbaren Verpflichtung.

Europaratskonvention 2025 und CCBE-Leitlinien setzen neue verbindliche Standards für digitalen Schutz

Die Europaratskonvention zum Schutz des Anwaltsberufs, einstimmig am 12. März 2025 verabschiedet, ist der erste verbindliche internationale Vertrag zum Schutz von Anwälten. Unterzeichnet von 18 Ländern, darunter Frankreich, Deutschland, Niederlande, Italien, Irland und Polen, stärkt Artikel 7 explizit das Recht auf mandantenbezogene Kommunikation ohne staatliche Überwachung und sieht einen eigenen Überwachungsmechanismus (GRAVO) vor.

Die aktualisierten Cloud-Computing-Leitlinien des CCBE vom Februar 2025 fordern explizit, dass Anwälte prüfen, ob Cloud-Anbieter nicht der Gerichtsbarkeit mit extraterritorialen Herausgabepflichten gegenüber Nicht-EU-Behörden unterliegen. Berufsgeheimnis und DSGVO sind laut Leitlinien primäre Auswahlkriterien bei Cloud-Services. Der Europäische Gerichtshof hat den Sonderstatus der Anwälte weiter gestärkt: Im Kontext der DAC6-Richtlinie wurde anerkannt, dass das Berufsgeheimnis von Anwälten stärkeren Schutz erfordert als bei anderen Berufsgruppen.

Wie ausländische Zugriffsrechte das Berufsgeheimnis untergraben

Der CLOUD Act gilt für jede US-basierte Plattform – unabhängig vom Speicherort der Daten

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act), 2018 in Kraft getreten, ändert den Stored Communications Act und verpflichtet US-Anbieter, von ihnen kontrollierte Daten herauszugeben – unabhängig vom Speicherort. Nutzt eine europäische Kanzlei Microsoft 365, Google Workspace oder andere US-Plattformen für Filesharing und E-Mail, unterliegen privilegierte Kommunikationen dem CLOUD Act.

CLOUD-Act-Anfragen laufen ausschließlich über das US-Rechtssystem und umgehen europäische Gerichte

Eine CLOUD-Act-Anfrage erfordert keine Beteiligung europäischer Gerichte, keine Benachrichtigung der Kanzlei oder ihrer Mandanten und läuft vollständig über das US-Rechtssystem. Zwar enthält der CLOUD Act einen Mechanismus zur Berücksichtigung internationaler Interessen (Comity-Analyse), dessen praktische Wirksamkeit ist jedoch fraglich. Wie die Groupe d’Études Géopolitiques analysiert, ist unklar, ob US-Gerichte die Nichteinhaltung europäischer Verschwiegenheitspflichten als ausreichend schwerwiegend ansehen, um Anbieter von den CLOUD-Act-Pflichten zu entbinden. Die jüngste Entscheidung eines Gerichts in Ontario, wonach die kanadische Tochter von OVHcloud Daten aus Frankreich, Großbritannien und Australien herausgeben musste – trotz Verstoßes gegen französisches Recht – zeigt, dass Gerichte zunehmend bereit sind, Datenherausgabe über Landesgrenzen hinweg anzuordnen, unabhängig von lokalen Schutzvorschriften.

FISA 702 und der Patriot Act schaffen weitere Zugriffswege neben dem CLOUD Act

Der CLOUD Act ist nicht das einzige US-Gesetz, das auf europäische Kanzleidaten zugreift. FISA Section 702 erlaubt Überwachung von Nicht-US-Personen zu nachrichtendienstlichen Zwecken, der Patriot Act erweitert den Regierungszugriff auf gespeicherte Kommunikation im Kontext der nationalen Sicherheit. Zusammen schaffen diese Gesetze mehrere Wege, wie US-Behörden auf Daten bei US-Anbietern zugreifen können, ohne europäische Verfahren einzuhalten. Die EU-Datensouveränitätserklärung vom November 2025 unterstreicht das wachsende politische Bewusstsein für diese strukturelle Abhängigkeit und verstärkt die berufliche Pflicht, die technische Infrastruktur an europäische Souveränitätsziele anzupassen.

Wo das Anwaltsgeheimnis am meisten gefährdet ist

Mandantenkommunikation mit Beratungsbedarf enthält die sensibelsten Informationen

Der sensibelste Datenfluss in jeder Kanzlei ist der Austausch von Rechtsrat zwischen Anwalt und Mandant. Fragt ein Unternehmenskunde seinen externen Anwalt per E-Mail zu einer möglichen Kartelluntersuchung, enthält diese E-Mail genau die Informationen, die das Anwaltsgeheimnis schützen soll: die offene Einschätzung des Mandanten, potenziell belastende Fakten und strategische Überlegungen. Läuft diese E-Mail über eine US-Plattform, ist die eigentlich geschützte Kommunikation technisch nach US-Recht zugänglich.

Bei grenzüberschreitenden Kanzleien verschärft sich das Problem. Ein Partner in Frankfurt, der einen deutschen Mandanten zu EU-Wettbewerbsrecht berät, stimmt sich mit Kollegen in London, Paris und Brüssel ab. Jede interne Kommunikation transportiert privilegierte Analysen über die E-Mail- und Dokumentenplattform der Kanzlei. Werden diese Systeme von US-Anbietern betrieben, vervielfacht sich die juristische Exponierung – und kein Privilegiengutachten kann eine architektonische, nicht juristische Schwachstelle beheben.

Work Product und Prozessstrategie sind das Ziel von Gegnern und Behörden

Juristische Arbeitsergebnisse – etwa Prozessstrategien, Schriftsatzentwürfe und Fallanalysen – genießen in Ländern mit Unterscheidung zwischen Beratungs- und Prozessprivileg besonderen Schutz. Dieser Schutz ist jedoch wertlos, wenn Work Product auf Plattformen gespeichert wird, auf denen ausländische Behörden Zugriff erzwingen können. Die Bewertung der Marktposition eines Mandanten durch eine Wettbewerbsrechtskanzlei für eine Fusionsanmeldung enthält strategische Informationen, die für Behörden, Wettbewerber und politische Akteure wertvoll sind. Die Risikoanalyse einer Strafverteidigungskanzlei enthält genau das, was Staatsanwälte suchen. Liegen diese Arbeitsergebnisse auf Plattformen, die dem CLOUD Act unterliegen, sind sie potenziell für US-Behörden zugänglich, die Informationen über Rechtshilfe oder informelle Kooperation an europäische Stellen weitergeben können.

M&A-Datenräume bündeln Deal-Intelligenz, die auf Cloud-Plattformen besonders verwundbar ist

Grenzüberschreitende M&A-Transaktionen erzeugen große Mengen privilegierter und wirtschaftlich sensibler Dokumente. Virtuelle Datenräume enthalten Finanzunterlagen, IP-Portfolios und juristische Analysen. Die Transaktionskorrespondenz umfasst privilegierte Hinweise zu Bewertung, Struktur und Verhandlungsstrategie. Werden diese Datenräume und Kommunikationskanäle auf US-Plattformen betrieben, ist die gesamte Deal-Akte juristisch exponiert. Der Proskauer-Rose-Vorfall 2023 – bei dem ein Angreifer über einen ungesicherten Azure-Cloud-Server Zugriff auf 184.000 Dateien mit privilegierten Finanz- und Rechtsdokumenten erhielt – zeigt die katastrophalen Folgen, wenn gebündelte Deal-Intelligenz auf Cloud-Plattformen kompromittiert wird.

Regulatorische Untersuchungen mit paralleler US- und EU-Verfolgung schaffen die größte Exponierung

Steht ein europäisches Unternehmen unter regulatorischer Untersuchung, führt die externe Kanzlei meist eine interne Prüfung durch, die Interviewnotizen, Dokumentenanalysen und strategische Bewertungen umfasst – die sensibelsten Unterlagen eines Falls. Sind die genutzten Plattformen ausländischem Zugriff unterworfen, wird das Privilegiengutachten akademisch. Eine US-Behörde, die ein Verhalten untersucht, das auch europäische Aufsicht betrifft, kann privilegierte Unterlagen über den CLOUD Act anfordern und die europäische Schutzwirkung vollständig umgehen. Besonders hoch ist das Risiko bei parallelen US- und EU-Verfahren in Kartell-, Sanktions- und Korruptionssachen.

Souveräne Architektur für privilegierte Kommunikation aufbauen

Kundengesteuerte Verschlüsselung macht ausländische Herausgabepflichten technisch irrelevant

Die wichtigste architektonische Entscheidung zum Schutz des Anwaltsgeheimnisses in der digitalen Welt ist die Implementierung einer kundengesteuerten Verschlüsselung, bei der die Kanzlei die Verschlüsselungsschlüssel selbst in einem eigenen Hardware-Sicherheitsmodul (HSM) oder Key-Management-System generiert, verwaltet und aufbewahrt. In diesem Modell verarbeitet der Plattformanbieter verschlüsselte Daten, kann sie aber nicht entschlüsseln. Bei einer CLOUD-Act-Anfrage kann der Anbieter keine lesbaren privilegierten Inhalte liefern, da er nicht über die Schlüssel verfügt.

Dies adressiert direkt das strukturelle Problem, das die CCBE-Leitlinien 2025 benennen. Kundengesteuerte Verschlüsselung macht die gesetzlichen Pflichten des Anbieters nach ausländischem Recht operativ irrelevant, weil eine Herausgabe technisch unmöglich ist. Für Kanzleien unter dem deutschen §203-StGB-Regime entspricht diese Architektur den Anforderungen der Reform von 2017 – kann der Anbieter keine entschlüsselten Daten einsehen, ist das Risiko unbefugter Offenbarung technisch ausgeschlossen und der Schutz stärker als durch vertragliche Verschwiegenheit allein.

Single-Tenant-Bereitstellung in Europa verhindert Datenvermischung mit anderen Organisationen

Kanzleidaten sollten auf dedizierter Infrastruktur liegen, die ausschließlich der eigenen Kanzlei dient – nicht auf Multi-Tenant-Plattformen, auf denen privilegierte Kommunikation mit Daten anderer Organisationen unter verschiedenen Rechtsregimen vermischt wird. Für internationale Kanzleien mit Büros in mehreren europäischen Ländern kann eine Single-Tenant-Bereitstellung die gesamte Kanzlei souverän abdecken – eine einzige souveräne Plattforminstanz für alle Standorte, mit zentraler Schlüsselverwaltung durch die Kanzlei, unabhängig davon, aus welchem Büro eine Kommunikation stammt.

Umfassende Audit-Trails erfüllen gleichzeitig berufsrechtliche und Mandantenanforderungen

Audit-Logging, das jeden Zugriff, jede Änderung und jede Übertragung privilegierter Kommunikation dokumentiert, liefert Nachweise für Mandantenanfragen zur Datenverarbeitung, unterstützt die DSGVO-Rechenschaftspflicht, ermöglicht die Erkennung unbefugter Zugriffe und schafft Dokumentationsgrundlagen, die Anwaltskammern und Gerichte bei Streit um das Anwaltsgeheimnis verlangen können. Für Kanzleien mit regulatorisch überwachten Mandaten belegen umfassende Audit-Trails zudem Governance-Praktiken gegenüber Aufsichtsbehörden und Mandanten, die zunehmend überprüfbare Rechenschaft über privilegierte Informationen erwarten.

Mandantendruck treibt Kanzleien zur Souveränität

DORA, EHDS und CMMC wirken sich direkt auf die Bewertung externer Kanzleien aus

Europäische Kanzleien sehen sich wachsenden Anforderungen an die Daten-Governance durch ihre anspruchsvollsten Mandanten gegenüber. Finanzinstitute unter DORA müssen Drittparteirisiken im gesamten Lieferantennetzwerk dokumentieren – externe Kanzleien mit privilegierten Bankdaten sind Teil dieses Netzwerks. Pharmaunternehmen, die klinische Studien und Patientendaten nach EHDS schützen, verlangen, dass die Plattformen ihrer Rechtsberater keine Zugriffswege eröffnen, die sie selbst technisch ausgeschlossen haben. Rüstungsunternehmen mit CMMC-Vorgaben prüfen, ob die Datenverarbeitung ihrer Anwälte den Standards für den Schutz von Controlled Unclassified Information genügt.

Panel-Review-Prozesse beinhalten inzwischen standardmäßig Technologie- und Cybersecurity-Fragebögen

Das ist keine Zukunftsmusik. Große institutionelle Mandanten fordern bereits heute Technologie- und Cybersecurity-Fragebögen im Rahmen ihrer Panel-Reviews. Kann eine Kanzlei nicht nachweisen, dass ihre Kommunikationsplattformen souveräne Architektur mit kundengesteuerter Verschlüsselung bieten, ist sie im Wettbewerb mit anderen Kanzleien im Nachteil. In den wertvollsten Beratungsfeldern – M&A, Kartellrecht, regulatorische Untersuchungen und internationale Schiedsverfahren – wird die Fähigkeit, Datensouveränität zu demonstrieren, zum Differenzierungsmerkmal neben juristischer Expertise und Branchenkenntnis.

Souveräne Architektur adressiert Cybersecurity- und Souveränitätsrisiko gleichzeitig

Kanzleien gehören zu den am häufigsten attackierten Organisationen. Laut Law Society of England and Wales haben 65 % der britischen Kanzleien einen Cybervorfall erlebt, im ersten Halbjahr 2024 wurden in den USA 21 Kanzleibreaches gemeldet. Cybersecurity und Souveränität sind verwandte, aber unterschiedliche Risiken: Cybersecurity schützt vor unbefugtem kriminellen Zugriff, Souveränität vor rechtmäßigem Zugriff ausländischer Behörden. Eine Kanzlei, die starke Cybersecurity implementiert, aber US-Plattformen nutzt, löst das eine Problem, lässt das andere aber strukturell ungelöst. Souveräne Architektur mit kundengesteuerter Verschlüsselung adressiert beide Risiken: Selbst bei kompromittierter Infrastruktur bleiben verschlüsselte Daten ohne Kanzleischlüssel unlesbar.

Praktische Umsetzung für verschiedene Kanzleitypen

Internationale Kanzleien sollten eine einheitliche souveräne Plattform mit zentraler Schlüsselverwaltung einsetzen

Internationale Kanzleien mit Büros in mehreren europäischen Ländern sollten eine einzige souveräne Kommunikationsplattform für die gesamte Kanzlei einsetzen, mit kundengesteuerter Verschlüsselung und eigener Schlüsselverwaltung, sodass keine externe Partei Zugriff auf privilegierte Inhalte erhält. Die Plattform sollte E-Mail-Schutz, Filesharing und Managed File Transfer unter einheitlichen Verschlüsselungs- und Governance-Richtlinien bündeln – so erhält ein privilegiertes Dokument zwischen Frankfurt und Paris denselben souveränen Schutz wie ein Dokument, das nie das Büro verlässt.

Boutique- und Mittelstandskanzleien benötigen souveräne Architektur ohne eigene Security-Expertise

Auch kleinere Boutique- und Mittelstandskanzleien bearbeiten hochsensible Mandate. Eine dreiköpfige Strafverteidigungskanzlei verwaltet oft persönlich folgenreichere Informationen als jede Großkanzlei. Diese Kanzleien sollten eine Plattform wählen, die souveräne Architektur ohne eigene Security-Expertise bietet – mit Managed Deployment und integrierten Kommunikationskanälen, die den operativen Aufwand minimieren und dennoch dieselben Verschlüsselungs- und Zugriffskontrollstandards wie große Installationen gewährleisten.

Kiteworks unterstützt europäische Kanzleien beim Schutz von Anwaltsgeheimnis und Mandantenvertraulichkeit

Europäische Kanzleien stehen vor einem strukturellen Konflikt zwischen berufsrechtlichen Verschwiegenheitspflichten und technischen Infrastrukturentscheidungen. Kundengesteuerte Verschlüsselung löst diesen Konflikt architektonisch: Kann der Plattformanbieter privilegierte Kommunikation nicht entschlüsseln, wird ausländischer Zugriff technisch unmöglich statt nur rechtlich untersagt – ein materiell stärkerer Schutz. Die CCBE-Leitlinien 2025, die Europaratskonvention und die Mandantenanforderungen aus DORA und EHDS weisen alle in dieselbe Richtung. Souveräne Architektur erfüllt sie alle mit einer einzigen Deployment-Entscheidung.

Das Kiteworks Private Data Network stellt Kanzleien die souveräne Kommunikationsinfrastruktur bereit, die sie benötigen, um privilegierte Kommunikation und Mandantenvertraulichkeit vor ausländischen Behörden zu schützen. Kiteworks arbeitet mit einem kundengesteuerten Verschlüsselungsmodell, bei dem die Kanzlei die Verschlüsselungsschlüssel im eigenen Key-Management-System generiert und verwaltet. Kiteworks kann keine entschlüsselten privilegierten Inhalte einsehen und ausländische Herausgabepflichten nicht erfüllen, da die Schlüssel nicht vorliegen.

Kiteworks wird als Single-Tenant-Instanz auf dedizierter europäischer Infrastruktur bereitgestellt, sodass privilegierte Kommunikation nicht mit Daten anderer Organisationen vermischt wird. Richtlinienbasierte Geofencing-Funktionen verhindern, dass privilegierte Daten geografisch festgelegte Grenzen verlassen. Umfassendes Audit-Logging liefert die Nachweise, die Berufsgeheimnis, DSGVO-Aufsichtsbehörden und Mandanten-Governance verlangen.

Die Plattform vereint sicheres Filesharing für Deal-Dokumentation und Mandatszusammenarbeit, E-Mail-Schutz für privilegierte Anwalt-Mandant-Kommunikation, Managed File Transfer für große Dokumentproduktionen und regulatorische Einreichungen sowie sichere Web-Formulare für Mandantendatenerfassung unter einem einheitlichen zero trust Governance-Framework. So können Kanzleien alle privilegierten Kommunikationskanäle über eine Plattform mit konsistenter Verschlüsselung, Zugriffskontrolle und Audit-Nachweisen schützen – konform mit den CCBE-Leitlinien 2025 und nationalen Berufsgeheimnispflichten.

Erfahren Sie mehr über den Schutz von Anwaltsgeheimnis und Mandantenvertraulichkeit durch souveräne Architektur – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Der CLOUD Act verpflichtet US-basierte Plattformanbieter, Daten auf Anordnung nach US-Recht herauszugeben – unabhängig vom Speicherort, ohne Beteiligung europäischer Gerichte oder Benachrichtigung der Kanzlei. Nutzt eine europäische Kanzlei eine US-basierte E-Mail- oder Filesharing-Plattform, sind dort gespeicherte privilegierte Kommunikationen technisch für US-Behörden über den Anbieter zugänglich – europäische Privilegien, die richterliche Genehmigung erfordern, werden so umgangen. Nur kundengesteuerte Verschlüsselung mit exklusiver Schlüsselverwaltung durch die Kanzlei macht diesen Zugriff technisch unmöglich, da der Anbieter keine Schlüssel zum Entschlüsseln besitzt.

Die CCBE-Leitlinien vom Februar 2025 verlangen explizit, dass Anwälte prüfen, ob Cloud-Anbieter nicht der Gerichtsbarkeit mit extraterritorialen Herausgabepflichten an Nicht-EU-Behörden unterliegen – ein direkter Verweis auf Gesetze wie den CLOUD Act. Zudem müssen Berufsgeheimnis und DSGVO als primäre Auswahlkriterien bei Cloud-Services berücksichtigt, Sicherheitsmaßnahmen und Verschlüsselungsfunktionen bewertet und sichergestellt werden, dass Speicherlösungen die Vertraulichkeit nicht gefährden. Wer US-basierte Plattformen ohne diese Prüfung nutzt, riskiert berufsrechtliche Haftung nach CCBE und nationalen Standesregeln.

§203 StGB stellt die unbefugte Offenbarung von Mandantendaten durch Anwälte unter Strafe. Die Reform 2017 erweiterte den Kreis der Geheimnisträger auf IT-Dienstleister, die an beruflichen Tätigkeiten mitwirken, belegte diese aber bei Verstößen mit eigener Strafbarkeit und verpflichtete Anwälte, sie zur Verschwiegenheit zu verpflichten. Wird ein US-basierter Plattformanbieter nach dem CLOUD Act zur Herausgabe gezwungen, entsteht ein direkter Konflikt zwischen US-Recht und deutschem Strafrecht. Kundengesteuerte Verschlüsselung löst diesen Konflikt architektonisch, da der Anbieter nie in der Lage ist, entschlüsselte Mandantendaten herauszugeben.

Die Konvention, einstimmig im März 2025 verabschiedet und von 18 Ländern unterzeichnet, ist der erste verbindliche internationale Vertrag zum Schutz von Anwälten und enthält spezifische Regelungen zu Vertraulichkeit und Berufsgeheimnis. Artikel 7 stärkt das Recht auf mandantenbezogene Kommunikation ohne staatliche Überwachung und schafft einen verbindlichen internationalen Standard, der den Schutz von Anwalt-Mandant-Kommunikation auch technisch absichert. Kanzleien, die Plattformen mit ausländischem Zugriff nutzen, stehen im Widerspruch zu Zweck und Schutzwirkung der Konvention und der von ihr verstärkten nationalen Regelungen.

Grenzüberschreitende Mandate unterliegen in Europa überlappenden Verschwiegenheitspflichten, deren Reichweite und Schutzintensität variieren – das deutsche Anwaltsgeheimnis schützt vor staatlichem Zugriff, das französische secret professionnel ist Teil der öffentlichen Ordnung, das Common Law-Privileg bezieht sich auf die Kommunikation selbst. Fließen privilegierte Dokumente zwischen Büros in verschiedenen Ländern, muss die Kanzlei stets den höchsten Standard erfüllen. Die Einführung einer einheitlichen souveränen Kommunikationsplattform mit kundengesteuerter Verschlüsselung für alle Standorte eliminiert die technische Infrastruktur als Unsicherheitsfaktor und stellt sicher, dass die Schutzmaßnahmen jedem nationalen Standard entsprechen oder diesen übertreffen.

Weitere Ressourcen

  • Blog Post  
    Datensouveränität: Best Practice oder regulatorische Pflicht?
  • eBook  
    Datensouveränität und DSGVO
  • Blog Post  
    Vermeiden Sie diese Fallstricke bei der Datensouveränität
  • Blog Post  
    Datensouveränität Best Practices
  • Blog Post  
    Datensouveränität und DSGVO [Verständnis von Datensicherheit]

    •  

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks