Jurono Magazin

DSGVO in der Kanzlei: praktische Prüfpunkte für neue Tools

Eine praxisnahe Checkliste für Kanzleien, die neue digitale Tools prüfen: Auftragsverarbeitung, Datenflüsse, Rollen, Löschung, Export, Sicherheit und Alltagstauglichkeit.

17. Juli 2026Jurono RedaktionDSGVO Kanzlei Tools

Datenschutzprüfung beginnt beim konkreten Zweck

Viele Tool-Prüfungen starten mit der Frage, ob ein Anbieter DSGVO-konform sei. Diese Frage ist zu grob. Entscheidend ist, für welchen Zweck die Kanzlei das Tool einsetzen will: Erstkontakt, Dokumentenupload, Aktenablage, Fristenkommunikation, Newsletter, Analyse oder interne Zusammenarbeit.

Beschreiben Sie deshalb zuerst den geplanten Ablauf. Welche Daten werden erhoben? Wer gibt sie ein? Wer greift darauf zu? Werden besondere Kategorien personenbezogener Daten verarbeitet? Gibt es Berufsgeheimnisse, Gesundheitsdaten, strafrechtliche Informationen oder finanzielle Unterlagen? Erst danach lässt sich prüfen, ob ein Tool passt.

Diese Zweckklärung ist auch organisatorisch hilfreich. Sie verhindert, dass ein Tool eingeführt wird, weil es modern wirkt, ohne dass klar ist, welches Problem es löst. Datenschutz und Wirtschaftlichkeit treffen sich an diesem Punkt: Unklare Zwecke erzeugen unnötige Daten, unnötige Daten erzeugen unnötiges Risiko.

Auftragsverarbeitung und Rollen sauber klären

Bei vielen Kanzlei-Tools verarbeitet der Anbieter Daten im Auftrag der Kanzlei. Dann braucht es einen Vertrag zur Auftragsverarbeitung, klare technische und organisatorische Maßnahmen und eine verständliche Beschreibung der Unterauftragsverarbeiter. Prüfen Sie nicht nur, ob ein AV-Vertrag existiert, sondern ob er zum tatsächlichen Einsatz passt.

Achten Sie auf Rollen. Ist der Anbieter Auftragsverarbeiter, gemeinsam Verantwortlicher oder eigenständig Verantwortlicher? Werden Daten für eigene Zwecke genutzt, etwa Produktanalyse oder Training? Welche Optionen hat die Kanzlei, solche Nutzungen zu begrenzen? Gerade bei Tools mit Automatisierung oder KI-Funktionen muss diese Frage konkret beantwortet werden.

Dokumentieren Sie die Entscheidung. Ein kurzer Prüfvermerk reicht oft: Zweck, Datenarten, Anbieterrolle, Speicherort, Schutzmaßnahmen, Löschweg und Ergebnis. So kann die Kanzlei später nachvollziehen, warum ein Tool freigegeben wurde.

Datenflüsse sichtbar machen

Datenschutz scheitert häufig an unsichtbaren Datenflüssen. Ein Mandant lädt ein Dokument hoch, das Team erhält eine Benachrichtigung, eine Datei wird exportiert, eine Integration synchronisiert Metadaten, ein Analysewerkzeug protokolliert Ereignisse. Jeder Schritt kann sinnvoll sein, sollte aber bekannt sein.

Erstellen Sie für neue Tools eine einfache Datenfluss-Skizze. Eingang, Speicherung, Zugriff, Weitergabe, Export und Löschung. Notieren Sie auch, welche Systeme ersetzt werden. Wenn ein Tool sichere Uploads ermöglicht, aber Mitarbeitende weiterhin parallel E-Mail-Anhänge verwenden, bleibt das Risiko bestehen.

Jurono ist darauf ausgelegt, Sichtbarkeit, digitale Mandatsaufnahme und Aktenvorbereitung zusammenzuführen. Das reduziert Medienbrüche, ersetzt aber nicht die Kanzleientscheidung, wer intern Zugriff bekommt und welche Prozesse verbindlich genutzt werden.

Zugriffe, Rechte und Protokolle alltagstauglich regeln

Ein Tool kann technisch sicher sein und trotzdem falsch genutzt werden. Prüfen Sie daher Rollen und Rechte: Gibt es getrennte Zugriffe für Berufsträger, ReNos, Assistenz und externe Beteiligte? Können ausgeschiedene Mitarbeitende zuverlässig entfernt werden? Sind Rechte zu grob oder lassen sie sich passend zur Kanzleistruktur setzen?

Protokolle sind ebenfalls wichtig, aber nur dann nützlich, wenn sie verständlich und abrufbar sind. Die Kanzlei sollte nachvollziehen können, wer auf sensible Vorgänge zugegriffen oder Änderungen vorgenommen hat. Gleichzeitig darf Protokollierung nicht zu einem Datenfriedhof werden, der niemanden interessiert.

Alltagstauglichkeit bedeutet: Sichere Wege müssen einfacher sein als unsichere. Wenn ein Dokumentenupload funktioniert, aber das Team wegen schlechter Bedienung doch E-Mail nutzt, verliert die beste Rollenlogik an Wert. Datenschutzprüfung sollte daher immer auch einen Praxistest enthalten.

Löschung, Export und Anbieterwechsel vor dem Start klären

Viele Kanzleien fragen erst beim Wechsel, wie Daten exportiert oder gelöscht werden können. Das ist zu spät. Prüfen Sie vor Einführung, welche Exportformate verfügbar sind, ob Dokumente vollständig übernommen werden können, wie Metadaten erhalten bleiben und wie lange Backups nach Löschung bestehen.

Auch nicht angenommene Mandatsanfragen brauchen Regeln. Wie lange werden sie gespeichert? Wer entscheidet über Löschung? Gibt es Gründe zur Aufbewahrung, etwa Kollisionsprüfung oder Nachweis der Kommunikation? Diese Fragen sollten im Prozess beantwortet sein, nicht im Einzelfall improvisiert werden.

Ein Anbieter, der klare Antworten zu Export und Löschung gibt, ist oft langfristig vertrauenswürdiger als einer, der nur den Einstieg betont. Für die Softwareentscheidung gehört dieser Punkt neben Funktionen und Preisen in den Vergleich. Mehr dazu finden Sie im Beitrag Kanzleisoftware Vergleich.

KI, Automatisierung und Analyse besonders genau prüfen

Viele neue Kanzlei-Tools werben mit Automatisierung, Zusammenfassungen, Dokumentenerkennung oder KI-gestützten Vorschlägen. Solche Funktionen können nützlich sein, verändern aber die Datenschutzprüfung. Die Kanzlei muss wissen, ob Daten nur im eigenen Auftrag verarbeitet werden, ob externe Modellanbieter beteiligt sind, ob Eingaben zum Training genutzt werden und welche Protokolle entstehen. Allgemeine Aussagen wie "DSGVO-konform" reichen hier nicht.

Prüfen Sie auch, ob Automatisierung abschaltbar oder begrenzbar ist. Nicht jede Kanzlei möchte jede Datenart in denselben Prozess geben. Manche Abläufe sind für einfache Erstinformationen geeignet, andere enthalten besonders sensible Angaben und brauchen strengere Regeln. Ein gutes Tool macht solche Unterschiede sichtbar und zwingt nicht jede Anfrage in denselben technischen Weg.

Bei Analysefunktionen gilt Ähnliches. Nutzungsdaten können helfen, Formulare zu verbessern oder Engpässe zu erkennen. Gleichzeitig sollte klar sein, welche Ereignisse gemessen werden, ob IP-Adressen oder Geräteinformationen verarbeitet werden und wie lange Rohdaten gespeichert bleiben. Für öffentliche Seiten, Intake und interne Aktenarbeit können unterschiedliche Einstellungen sinnvoll sein. Die Funktionsprüfung sollte deshalb immer mit der Datenschutzprüfung zusammenlaufen.

Datenschutz als Teil der Einführung

Datenschutz ist nicht erledigt, wenn ein Vertrag unterschrieben ist. Die Einführung entscheidet, ob die Regeln im Alltag eingehalten werden. Wer darf neue Nutzer anlegen? Welche Rollen bekommen Assistenz, Berufsträger und externe Beteiligte? Was passiert, wenn ein Mandat nicht angenommen wird? Wie werden Dokumente benannt, abgelegt und später gelöscht? Diese Fragen müssen in Arbeitsanweisungen übersetzt werden.

Schulen Sie nicht nur die Oberfläche, sondern den verbindlichen Standardweg. Wenn Dokumente künftig über einen sicheren Upload kommen sollen, muss klar sein, wann E-Mail-Anhänge noch akzeptiert werden und wann nicht. Wenn Anfragen über ein Intake-Formular laufen sollen, braucht das Team eine Antwort auf spontane Telefonkontakte. Ohne diese Regeln entstehen Parallelprozesse, und Parallelprozesse sind fast immer das größere Datenschutzrisiko.

Planen Sie außerdem eine Nachprüfung nach einigen Wochen. Stimmen Rechte noch? Werden Anfragen richtig gelöscht oder archiviert? Gibt es Workarounds, die aus Zeitdruck entstanden sind? Werden Exporte gebraucht? Solche Fragen wirken klein, zeigen aber, ob ein Tool wirklich in der Kanzlei angekommen ist. Die Kosten sollten diese Einführungsarbeit berücksichtigen; ein Blick auf Pakete und Preise ist deshalb Teil der Datenschutzentscheidung.

Pragmatische Prüfliste für die Kanzlei

Die folgende Prüflogik hat sich für kleine und mittlere Kanzleien bewährt. Erstens: Zweck und Datenarten beschreiben. Zweitens: Anbieterrolle und AV-Vertrag prüfen. Drittens: Speicherort, Unterauftragsverarbeiter und Sicherheitsmaßnahmen dokumentieren. Viertens: Rechte, Protokolle, Löschung und Export testen. Fünftens: einen verbindlichen Kanzleiablauf festlegen.

Diese Prüfung muss nicht monatelang dauern. Für ein klar begrenztes Tool lässt sie sich oft in wenigen Stunden vorbereiten, wenn der Anbieter gute Unterlagen liefert. Schwieriger wird es, wenn unklar ist, wofür das Tool genutzt werden soll oder ob Daten für fremde Zwecke verarbeitet werden.

Hilfreich ist eine schlanke Freigabevorlage. Sie sollte nicht juristische Perfektion simulieren, sondern die wichtigsten Entscheidungen festhalten: Zweck, Datenarten, Empfänger, Speicherort, Löschweg, Exportmöglichkeit, Verantwortliche und Ergebnis der Prüfung. Ergänzen Sie Links zu AV-Vertrag, TOMs und Anbieterinformationen. So entsteht ein nachvollziehbarer Stand, den die Kanzlei später aktualisieren kann, wenn sich Funktionen oder Unterauftragsverarbeiter ändern.

Diese Vorlage schützt auch vor Tool-Wildwuchs. Wenn jede neue Anwendung denselben kurzen Prüfprozess durchlaufen muss, wird schneller sichtbar, ob sie wirklich gebraucht wird oder nur einen bestehenden Prozess doppelt. Datenschutz wird dadurch nicht zum Bremsklotz, sondern zu einem Filter für bessere Entscheidungen: weniger unklare Systeme, klarere Zuständigkeiten und ein Standardweg, den das Team tatsächlich nutzt.