Risikoanalyse bei Microsoft 365 im Kanzleiumfeld

Immer mehr Kanzleien in der Schweiz nutzen Microsoft 365 für Kommunikation, Dokumentenablage und Mandatsarbeit. Doch wer dabei auf eine strukturierte Risikoanalyse verzichtet, riskiert nicht nur datenschutzrechtliche Beanstandungen, sondern auch berufsrechtliche und zivilrechtliche Folgen. Für Steuerberater, Rechtsanwälte und Wirtschaftsprüfer ist die Risikoanalyse kein formaler Zusatz, sondern ein zentrales Instrument, um die Vertraulichkeit von Mandantendaten zu schützen und die Pflichten nach dem revidierten Datenschutzgesetz (revDSG) sowie den jeweiligen Berufsordnungen einzuhalten. 

👉 Was ist eine Risikoanalyse? 
Unter einer Risikoanalyse versteht man die systematische Bewertung der mit einer Datenbearbeitung verbundenen Gefahren – etwa unbefugter Zugriff, Datenverlust oder unkontrollierte Datenübermittlung ins Ausland. Ziel ist es, die Eintrittswahrscheinlichkeit und die möglichen Auswirkungen solcher Risiken einzuschätzen und darauf aufbauend angemessene technische und organisatorische Maßnahmen (TOM) festzulegen. 

👉 Welchen Nutzen hat eine Risikoanalyse für Kanzleien? 

• Sie schafft Rechtssicherheit, da Kanzleien ihre Pflichten nach dem revDSG und den Berufsordnungen nachweislich erfüllen. 

• Sie schützt Mandantendaten wirksam und stärkt das Vertrauen gegenüber Klienten. 

• Sie ermöglicht es, Cloud-Lösungen wie Microsoft 365 bewusst und kontrolliert einzusetzen – anstatt Risiken unbemerkt in Kauf zu nehmen. 

• Sie bietet eine klare Entscheidungsgrundlage für die Geschäftsleitung, welche Maßnahmen notwendig und wirtschaftlich sinnvoll sind. 

1. Rechtliche Grundlagen der Risikoanalyse in der Schweiz

Mit dem Inkrafttreten des revidierten Datenschutzgesetzes (revDSG) am 1. September 2023 haben sich die Anforderungen an Unternehmen und Kanzleien verschärft. Zentrale Vorgaben sind: 

• Art. 8 revDSG – Grundsatz der Datensicherheit: Kanzleien müssen Risiken der Bearbeitung beurteilen und durch technische und organisatorische Maßnahmen (TOM) absichern. 

• Art. 5 Abs. 1 revDSG – Rechenschaftspflicht: Kanzleien müssen nachweisen können, wie Datenschutz konkret umgesetzt wird. 

• Art. 16 ff. revDSG – Bekanntgabe ins Ausland: Bei Microsoft 365 ist zu prüfen, ob Daten in Drittländer (z. B. USA) gelangen und ob ein angemessener Schutz gewährleistet ist. 

Berufsrechtliche Pflichten ergänzen diese Anforderungen: 

• Steuerberater und Treuhänder: EXPERTsuisse und Treuhand Suisse verpflichten Mitglieder zur sorgfältigen Wahrung von Berufsgeheimnissen und zur Umsetzung angemessener Sicherheitsmaßnahmen. 

• Rechtsanwälte: Nach Art. 12 BGFA und den Standesregeln des SAV besteht eine Pflicht zur Verschwiegenheit und zum sorgfältigen Umgang mit Mandatsdaten. 

• Wirtschaftsprüfer: Die Standesregeln von EXPERTsuisse verpflichten zur Vertraulichkeit und zur Einhaltung hoher Standards bei der Datensicherheit. 

Damit wird deutlich: Eine Risikoanalyse ist die notwendige Grundlage, um Microsoft 365 rechtssicher einzusetzen. 

2. Konsequenzen bei fehlender Risikoanalyse

a) Datenschutzrechtliche Sanktionen (revDSG)

Wird keine Risikoanalyse durchgeführt, kann dies als Verletzung der Datensicherheitspflichten gewertet werden. Im Unterschied zur EU-DSGVO richtet sich das Sanktionssystem in der Schweiz primär gegen natürliche Personen in der Geschäftsleitung oder Verantwortungsposition. 

• Art. 60 revDSG: Bussen bis zu 250.000 CHF bei vorsätzlichen Verstößen – beispielsweise, wenn eine Kanzlei wissentlich ohne Risikoanalyse arbeitet und damit Gefahren für Mandantendaten in Kauf nimmt.  
• Art. 61 revDSG: Bei leichteren Verstößen kann der EDÖB Beanstandungen aussprechen und verbindliche Nachbesserungen anordnen. (EDÖB zu seinen Befugnissen) 

👉 Bisherige Praxis: 
Bislang sind noch keine konkreten Fälle öffentlich dokumentiert, in denen eine Kanzlei wegen fehlender Risikoanalyse sanktioniert wurde. Fachkreise weisen aber darauf hin, dass das revDSG die Strafbestimmungen verschärft hat: 

• Der EDÖB kann Untersuchungsverfahren einleiten und Unternehmen verpflichten, Datenbearbeitungen anzupassen oder einzustellen (datenschutz.law). 

• Bussen richten sich gegen die verantwortliche Person, nicht primär gegen das Unternehmen – außer wenn kein Verantwortlicher ermittelt werden kann, dann kann das Unternehmen bis 50.000 CHF belangt werden (mme.ch). 

• Strafbar ist auch Eventualvorsatz: Wenn die Geschäftsleitung es billigend in Kauf nimmt, dass Risiken (z. B. Datenabfluss bei Microsoft 365) nicht ausreichend geprüft sind (advoro.ch). 

Damit gilt: Schon eine fehlende oder unzureichende Risikoanalyse kann als eigenständiger Verstoß eingestuft werden – auch ohne konkrete Datenpanne. 

b) Berufsrechtliche Folgen

• Für Steuerberater/Treuhänder und Wirtschaftsprüfer: Eine unsachgemäße Nutzung von Cloudlösungen ohne Risikoanalyse kann als Verletzung der Sorgfaltspflicht gelten und zu Disziplinarmaßnahmen durch Verbände oder Aufsichtsbehörden führen. 

• Für Rechtsanwälte: Unsicherer Cloud-Einsatz kann eine Verletzung der anwaltlichen Verschwiegenheitspflicht darstellen. Mögliche Folgen sind disziplinarische Maßnahmen der kantonalen Aufsichtsbehörden (z. B. Verwarnungen, Rügen). 

1. c) Zivilrechtliche Haftung

Mandanten können bei Datenschutzverletzungen Schadenersatzansprüche erheben. Während das revDSG keine pauschalen Entschädigungen wie die DSGVO vorsieht, können Ansprüche über Art. 28 ff. ZGB (Persönlichkeitsverletzung) geltend gemacht werden. 

Beispiel: Werden aufgrund fehlender Risikoanalyse Mandantendaten durch Fehlkonfiguration von Microsoft Teams offengelegt, kann dies zu Schadenersatzforderungen führen. 

3. Risikoanalyse als Schutzschild für Kanzleien

Die Risikoanalyse ist ein praxisnahes Instrument, um den Einsatz von Microsoft 365 systematisch abzusichern. Für Kanzleien sind insbesondere folgende Schritte empfehlenswert: 

• Bewertung der Datenarten (z. B. besonders schützenswerte Finanz- und Steuerinformationen, Mandatsgeheimnisse). 

• Analyse der Verarbeitungstätigkeiten in Microsoft 365 (Teams, SharePoint, Outlook, OneDrive). 

• Bewertung von Cloud-Risiken, insbesondere bei Datenübertragungen ins Ausland und bei Zugriffsmöglichkeiten ausländischer Behörden. 

• Dokumentation der Ergebnisse in einem Datenschutzkonzept sowie im Verzeichnis der Bearbeitungstätigkeiten. 

• Ableitung von TOMs: Verschlüsselung, rollenbasierte Zugriffskontrolle (RBAC), restriktive Konfigurationen, Sensibilisierung der Mitarbeitenden. 

So wird die Risikoanalyse zur unverzichtbaren Grundlage, um Microsoft 365 datenschutz- und berufsrechtskonform einzusetzen – und zugleich Mandantendaten bestmöglich zu schützen.  

Was tun?  

Kanzleien, die Microsoft 365 einsetzen oder einführen wollen, sollten die Risikoanalyse fest in ihre Compliance-Strategie integrieren. 

• „Kontakt aufnehmen für Unterstützung bei Microsoft 365-Compliance in der Kanzlei“ 

• „Workshop buchen: Microsoft 365 rechtssicher in Steuerberatung, Wirtschaftsprüfung und Anwaltskanzlei nutzen“ 

Quellen: 

• Bundesgesetz über den Datenschutz (revDSG), insbesondere Art. 5, 8, 16, 60 f. 

• Bundesgesetz über die Freizügigkeit der Anwältinnen und Anwälte (BGFA), Art. 12 

• Schweizerischer Anwaltsverband (SAV), Standesregeln 

• EXPERTsuisse, Standesregeln für Wirtschaftsprüfer und Treuhänder 

• Zivilgesetzbuch (ZGB), Art. 28 ff.