Cloud-Nutzung in Kanzleien ist nicht automatisch sicher: So minimieren Sie Drittlandrisiken, AV-Vertragslücken und KI-Cloud-Risiken mit klarer Governance.
Es beginnt, wie viele Digitalisierungsprojekte in Kanzleien beginnen: Eine Steuerberatungskanzlei in Norddeutschland, rund 15 Mitarbeitende, mehrere Berufsträger, ein stabiler Mandantenstamm aus mittelständischen Unternehmen, Freiberuflern und vermögenden Privatpersonen. Die Kanzlei wächst kontinuierlich, arbeitet zunehmend hybrid und spürt den Druck, ihre Prozesse effizienter, transparenter und mandantenfreundlicher zu gestalten. Papierakten, lokale Laufwerke und Insellösungen stoßen erkennbar an ihre Grenzen. Der alltägliche Koordinationsaufwand zwischen Standorten, Homeoffice und Mandanten verlangt nach zeitgemäßen technischen Grundlagen.
Die Entscheidung für eine konsequente Cloud-Strategie fällt daher schnell. Microsoft 365 wird zur zentralen Arbeitsplattform für E-Mail, Dokumente und Zusammenarbeit. Der Mandantenaustausch erfolgt über eine Cloud-basierte Finanz- und Belegplattform, interne Textentwürfe, Auswertungen und Recherchearbeiten werden teilweise durch KI-gestützte Cloud-Dienste unterstützt. Die Transformation verspricht operative Vorteile und eine zeitgemäße Außenwirkung, die professionell und zukunftsorientiert ausstrahlt.
Erst im Rahmen einer vertieften datenschutzrechtlichen Bestandsaufnahme wird deutlich, wie wenig strukturiert die Cloud-Nutzung tatsächlich abgesichert ist. Datenverarbeitungen mit möglichem US-Bezug wurden nie systematisch bewertet, eine diesbezügliche Auswirkungsanalyse bei Drittlandübermittlungen (Transfer Impact Assessment, TIA) existiert nicht. Technische und organisatorische Maßnahmen wurden weitgehend aus Marketingunterlagen der Anbieter übernommen, ohne deren tatsächliche Eignung zu prüfen. Bei KI-Cloud-Diensten bleibt unklar, was mit eingegebenen Inhalten geschieht – ob diese gespeichert, analysiert oder weiterverwendet werden. Die Kanzlei hat modern gearbeitet – aber ohne belastbares Sicherheitsfundament. Dieses Szenario ist kein Ausnahmefall, sondern typisch für viele Kanzleien dieser Größenordnung.
Cloud-Dienste entwickeln sich heute zum operativen Rückgrat des Kanzleialltags. Mandantenakten werden digital geführt, Steuererklärungen kollaborativ erstellt, Jahresabschlüsse Cloud-basiert geprüft und archiviert. Interne Abstimmungen, Fristenkontrollen und fachliche Rückfragen laufen über Cloud-Kommunikationssysteme. Die traditionelle Trennung zwischen lokalem Arbeitsplatz und zentraler Datenablage löst sich auf. Die Cloud ist damit nicht nur Speicherort, sondern aktiver Verarbeitungsraum – auch für hochsensible Informationen, deren Vertraulichkeit für das Mandatsverhältnis grundlegend ist.
Gerade diese Allgegenwärtigkeit erhöht die Risikolage erheblich. Steuerberater und Wirtschaftsprüfer verarbeiten dauerhaft Daten, die sowohl datenschutzrechtlich als auch berufsrechtlich besonders geschützt sind. Jede E-Mail, jede Dateiablage und jede Freigabe in der Cloud ist potenziell ein Zugriffspunkt – für berechtigte Nutzer ebenso wie für unbefugte Dritte. Anders als bei klassischen On-Premises-Strukturen verlieren Kanzleien dabei häufig das intuitive Gefühl dafür, wo Daten physisch liegen und wer technisch darauf zugreifen kann.
Hinzu kommt, dass Cloud-Dienste oft als homogene Lösung wahrgenommen werden. Tatsächlich handelt es sich jedoch um komplexe Ökosysteme aus Hauptdiensten, Zusatzmodulen und integrierten Drittanwendungen, die jeweils eigene Datenverarbeitungslogiken mitbringen. Ohne klare Governance-Strukturen wird aus der Cloud schnell ein unübersichtlicher Datenraum, in dem sensible Mandanteninformationen permanent verarbeitet werden – häufig ohne ausreichende Kontrolle und ohne die Möglichkeit, im Ernstfall schnell zu reagieren.
Ein besonders kritischer Aspekt der Cloud-Nutzung liegt in den internationalen Architekturen vieler Anbieter. Auch wenn Rechenzentren in der EU betrieben werden, sind Cloud-Dienste häufig Teil globaler Konzernstrukturen. Administrationsrechte, Support-Zugriffe oder technische Fernwartung können außerhalb der EU erfolgen – etwa in den USA oder anderen Drittstaaten. Diese Zugriffsmöglichkeiten sind datenschutzrechtlich relevant, auch wenn keine physische Datenmigration stattfindet.
Für eine Kanzlei mit 15 Mitarbeitenden mag diese Problematik auf den ersten Blick abstrakt wirken. Tatsächlich betrifft sie jedoch jede einzelne Cloud-Nutzung mit Mandantenbezug. Ohne wirksame Standardvertragsklauseln und eine fundierte TIA fehlt die rechtliche Grundlage für diese Datenverarbeitungen. Die bloße Existenz eines EU-Serverstandorts reicht nicht aus, um Drittlandrisiken auszuschließen – entscheidend ist, wer unter welchen rechtlichen Bedingungen auf die Daten zugreifen kann.
In der Praxis wird diese Pflicht häufig unterschätzt. Kanzleien verlassen sich auf pauschale Anbietererklärungen oder gehen davon aus, dass bekannte Cloud-Anbieter die rechtliche Bewertung bereits vorgenommen haben. Dabei gilt: Die Verantwortung für die Zulässigkeit der Datenübermittlung liegt bei der Kanzlei selbst. Der Anbieter stellt lediglich die vertraglichen Instrumente bereit, deren Anwendung und Bewertung dem Verantwortlichen obliegt. Gerade für Berufsgeheimnisträger ist dieser Punkt von zentraler Bedeutung.
Cloud-Anbieter werben mit hohen Sicherheitsstandards, Zertifizierungen und modernen Schutzmechanismen. Diese Aussagen sind nicht falsch, ersetzen jedoch keine individuelle Sicherheitskonzeption. In vielen Kanzleien werden Cloud-Dienste mit Standardeinstellungen betrieben, ohne sie an den tatsächlichen Schutzbedarf der verarbeiteten Daten anzupassen. Die Annahme, ein zertifizierter Anbieter garantiere automatisch die Sicherheit der eigenen Datenverarbeitung, ist weit verbreitet – und ebenso weit von der Realität entfernt.
Zugriffsrechte werden zu breit vergeben, um den Arbeitsalltag zu erleichtern. Rollenmodelle bleiben grob, Trennungen zwischen fachlichen, administrativen und organisatorischen Zugriffsrechten fehlen oder werden nicht konsequent umgesetzt. Mehrfaktor-Authentifizierung ist zwar verfügbar, wird aber nicht flächendeckend erzwungen. Protokollierungsfunktionen existieren, werden jedoch nicht systematisch überwacht oder ausgewertet, sodass sicherheitsrelevante Vorfälle unbemerkt bleiben können.
Mit zunehmender Größe der Kanzlei und der intensiveren Nutzung angebundener Cloud-Dienste verschärft sich diese Problematik. Daten fließen vermehrt automatisiert zwischen Systemen, werden synchronisiert, weiterverarbeitet oder archiviert. Die Transparenz über diese Prozesse nimmt ab, während das Risiko schleichend steigt. Für Steuerberater und Wirtschaftsprüfer ist dies besonders problematisch, da sie jederzeit die Vertraulichkeit und Integrität der Daten gewährleisten müssen.
Viele KI-Cloud-Dienste arbeiten mit komplexen Modellen, deren Trainings- und Speicherlogik für Anwender kaum nachvollziehbar ist. Selbst wenn Anbieter zusichern, keine Trainingsnutzung vorzunehmen, bleibt offen, wie diese Zusicherung technisch umgesetzt wird und ob sie tatsächlich überprüfbar ist. Die Blackbox-Natur dieser Systeme erschwert die Verifizierung datenschutzrechtlicher Grundsätze. Für Kanzleien mit mehreren Mitarbeitenden entsteht so schnell ein unkontrollierbares Risiko: Mandantenbezogene Inhalte werden parallel in Systeme eingegeben, deren Datenverarbeitung nicht vollständig verstanden wird.
Für Steuerberater und Wirtschaftsprüfer ist dies besonders heikel. Berufsgeheimnisse dürfen nicht in Systeme gelangen, bei denen Zweckbindung, Speicherbegrenzung und Zugriffsschutz nicht eindeutig geklärt sind. Die Versuchung, produktivitätssteigernde KI-Tools zu nutzen, ist groß – doch die damit verbundenen Risiken sind es ebenfalls. KI-Cloud-Dienste sind daher kein reines Innovationsthema, sondern können auf ein datenschutzrechtliches und berufsrechtliches Hochrisikofeld zusteuern.
Ein weiterer Schwachpunkt der Cloud-Nutzung liegt in der vertraglichen Ausgestaltung der Auftragsverarbeitung. Zwar werden AV-Verträge regelmäßig abgeschlossen, doch ihre inhaltliche Qualität bleibt häufig unbeachtet. Das Vorhandensein eines unterzeichneten Dokuments wird mit dessen Wirksamkeit verwechselt. Gerade bei großen Cloud-Anbietern sind diese Verträge stark standardisiert und einseitig ausgestaltet.
Weitreichende Klauseln zu Subunternehmern, unternehmensinternen Datenübermittlungen und Zweckänderungen sind keine Seltenheit. Der Verantwortliche erklärt sich mit der Nutzung häufig pauschal einverstanden, ohne die konkreten Konsequenzen zu überblicken. Für Kanzleien mit berufsrechtlicher Verschwiegenheitspflicht bedeutet dies deshalb ein erhebliches Risiko, weil ein AV-Vertrag nur dann Schutzwirkung entfaltet, wenn er die tatsächliche Cloud-Verarbeitung realistisch abbildet und klare, überprüfbare Schutzmechanismen enthält.
In der Praxis wird jedoch häufig übersehen, dass die Kanzlei auch bei formell bestehendem AV-Vertrag voll verantwortlich bleibt. Die Cloud verlagert technische Prozesse, nicht jedoch die rechtliche Verantwortung. Der Anbieter handelt als weisungsgebundener Auftragsverarbeiter, die datenschutzrechtliche Letztverantwortung verbleibt beim Verantwortlichen. Ein unzureichender Vertrag schützt weder vor Haftung noch vor berufsrechtlichen Konsequenzen.
Datenschutz ist im Cloud-Kontext demnach kein isoliertes IT-Thema und kein einmaliges Projekt, das mit der Implementierung als abgeschlossen gelten kann. Für Steuerberater und Wirtschaftsprüfer ist er ein sicherheitsrelevanter Kernprozess, der eng mit der Cloud-Strategie der Kanzlei verknüpft sein muss. Jede Entscheidung für einen Cloud-Dienst ist zugleich eine Entscheidung über Datenflüsse, Zugriffsmöglichkeiten und rechtliche Risiken.
Eine Kanzlei in der beschriebenen Größenordnung benötigt daher klare Leitplanken für die Cloud-Nutzung: definierte Einsatzszenarien, eine dokumentierte Risikobewertung, verbindliche Sicherheitsanforderungen und regelmäßige Überprüfungen. Datenschutz muss dabei als fortlaufender Steuerungsprozess verstanden werden und die technische Dynamik der Cloud-Dienste erfordert eine entsprechend dynamische Governance.
Moderne Cloud-Lösungen können Kanzleien effizienter, flexibler und wettbewerbsfähiger machen. Sie ermöglichen Arbeitsweisen, die mit traditionellen Strukturen nicht realisierbar wären. Ohne ein tragfähiges Datenschutz- und Sicherheitskonzept werden sie jedoch zum systemischen Risiko. Für Berufsgeheimnisträger entscheidet sich an dieser Stelle nicht nur die Frage der DSGVO-Konformität, sondern die Vertrauenswürdigkeit, Stabilität und Zukunftsfähigkeit der gesamten Kanzlei.
Die Cloud hat sich als unverzichtbare Infrastruktur für Steuerberatungs- und Wirtschaftsprüfungskanzleien etabliert. Die damit verbundenen Effizienzgewinne sind unbestritten. Doch der vermeintliche Komfort darf nicht darüber hinwegtäuschen, dass Cloud-Nutzung ohne belastbare Sicherheitsarchitektur ein latentes Risiko darstellt – für den Datenschutz, für die berufsrechtliche Integrität und für das Vertrauen der Mandanten.
Die zentralen Erkenntnisse lassen sich verdichten:
Datenschutz in der Cloud ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Kanzleien, die diesen Prozess als strategische Notwendigkeit begreifen und institutionalisieren, schaffen die Voraussetzung für eine moderne, zukunftsfähige Arbeitsweise – ohne die Grundlagen ihres Berufsrechts und das Vertrauen ihrer Mandanten aufs Spiel zu setzen.
Das Thema Datenschutz in Bezug auf Microsoft 365 ist in Fachkreisen umstritten und die Meinungen dazu sind gespalten. Es ist jedoch wichtig, sich...
Erfahren Sie, wie Sie ein lebendiges ISMS nach ISO 27001 Kapitel 4.4 aufbauen – mit klaren Prozessen, Verantwortlichkeiten und kontinuierlicher...
Risikoanalyse ist für Kanzleien bei Microsoft 365 Pflicht: Sie schützt Mandantendaten, erfüllt revDSG und sichert die berufliche Compliance.
Be the first to know about new B2B SaaS Marketing insights to build or refine your marketing function with the tools and knowledge of today’s industry.