"Können Mandantendaten in die Cloud — oder nur On-Prem?"

"Mit BYOK, Information Barriers und Customer Lockbox: ja, Cloud ist BRAO-konform. Ihre Daten sind verschlüsselt unter Ihrer Kontrolle, Microsoft sieht nie den Klartext. Falls Sie noch strenger sein wollen (z.B. für Hochrisiko-Mandanten): On-Prem-Optionen haben wir auch. Cloud mit BYOK ist aber der Standard."

"Welche LLMs sind BRAO-fähig?"

"Bei lokaler Verarbeitung oder über Gateway mit DLP-Filter: viele. Default ist No-Send für Mandantendaten ohne explizite Freigabe. Business Agents können mit lokalen Modellen laufen — auch Offline. Das ist der sicherste Weg."

"Können wir Microsoft loswerden — ist eine andere Cloud-Suite besser?"

"Selten der Mühe wert. M365 ist Standard für Kanzleien, und mit BYOK + Information Barriers ist es robust gehärtet. Alternativen (Nextcloud, OpenStack) brauchen mehr Betrieb und haben weniger Funktionen. Wir härten M365 lieber — das ist wirksamer."

"Ab wann lohnt sich das Mandat?"

"Ab 10 Anwälten/Steuerberatern. Einzelkanzleien (1–3 Personen) können simplere Lösungen nehmen. Größere Kanzleien (50+) brauchen volle Automatisierung — da ist der Nutzen sofort klar. 10–50: grüne Zone."

Zurück zu Branchen

BRANCHEN · RECHT & STEUERBERATUNG

Mandantengeheimnis, BRAO, M365-Hardening — sicherheits-disziplinär.

TL;DR. Kanzleien und Steuerberater haben eigene Schutzklassen — BRAO §43a, BORA, GoB. Wir verstehen, warum diese Berufsgruppen klassische Cloud-Beratungen ablehnen — und liefern eine Architektur, die Mandantengeheimnis hält.

BRAO-konform M365-gehärtet Mandantendatenschutz

Branchen-Briefing anfragen Zurück zur Branchen-Übersicht

Was diese Branche typischerweise belastet

BRAO §43a ist unverhandelbar: Verschwiegenheitspflicht, kein Drittstaaten-Zugriff auf Mandantendaten. Das bedeutet: Cloud-Standards aus dem Tech-Sektor funktionieren nicht. Ein Cloud-Anbieter mit Datenzentren in den USA? Für Kanzleien ein No-Go. BORA (Berufsordnung für Rechtsanwälte) konkretisiert das weiter — technische Sicherheitsmaßnahmen sind nicht optional.

Gleichzeitig sind fast alle Kanzleien heute auf Microsoft-Stack: M365 (Word, Excel, Teams, SharePoint, OneDrive) ist Standard. Die Herausforderung: M365-Mandantendatenschutz ist nicht trivial. Information Barriers, Customer Lockbox, Sensitivity Labels, Encryption — viele Kanzleien deployen das nicht und landen dadurch bei einer hybriden Lösung (On-Prem + Cloud), die wartungs-intensiv ist.

Cyber-Versicherer fragen gezielt nach Mandanten-Datenschutz-Architektur. Ransomware auf einer Kanzlei ist eine Doppel-Katastrophe: Betriebsgeheimnis-Diebstahl + Mandanten-Daten-Exfiltrierung. Und der Personalmangel ist akut — viele Kanzleien haben eine einzige IT-Person, die zeitgleich Server wartet, Benutzer-Support liefert und Datenschutz-Compliance dokumentiert.

Wie wir typischerweise helfen

Wir bauen M365-Mandantendatenschutz-Architektur, sodass Mandanten-Akten sicher bleiben — aber Kanzleisten nicht in Infra-Wartung ersticken. Information Barriers trennt Mandanten-Daten: Anwalt A kann nicht auf Mandant-B-Akte zugreifen. Customer Lockbox sichert Zugriff auch im Fall von Governance-Eskalation (Microsoft-Support kann nicht einfach reinschauen). Sensitivity Labels automatisieren Klassifikation — neue Datei in "Mandanten-Akten"-Folder → automatisch "Vertraulich + Verschlüsselt"-Label.

BYOK (Bring-Your-Own-Key) verschlüsselt die Daten mit Ihrem Schlüssel — Microsoft hat nie Zugriff. Endpoint Agents sitzen auf Anwalt-Laptops und Kanzlei-Terminals mit lokaler Tool-Verarbeitung: Mandantendaten gehen nicht ins Cloud-LLM ohne explizite Gateway-Freigabe und DLP-Filter. Knowledge Base speichert BRAO-§43a-Anforderungen und M365-Härtungs-Checklisten. Business Agents automatisieren Mandanten-Datenschutz-Audits: monatlich checken, sind alle Mandanten-Dateien korrekt gelabelt?

Dauer-Betrieb ist der Knackpunkt. Wir bauen nicht und verschwinden — wir liefern ein klonbares Mandat, das die Kanzlei-IT weiterlaufen lässt, nachdem wir gehen.

Was sich in dieser Branche oft als erstes lohnt

Kanzleien sollten mit M365-Mandantendatenschutz starten — das ist schnell wirksam und hat sofort Versicherer-Pluswert.

M365-Mandantendatenschutz-Hardening: Information Barriers, Customer Lockbox, Sensitivity Labels, BYOK-Encryption konfigurieren, nicht einfach „default M365" mit Hoffnung betreiben.
Information-Barriers-Konfiguration: Mandanten-Segmentierung nach Kanzlei-Struktur, Anwälte können nicht cross-mandant arbeiten, Audit-Log ist wasserdicht.
Sensitivity-Label-Schema: Klassifikation (Öffentlich, Intern, Vertraulich, Mandanten-Akte). Auto-Labeling für neue Dateien in kritischen Ordnern.
BYOK-Encryption-Setup: Azure Key Vault mit Kanzlei-eigenem Key, Microsoft und alle anderen Drittländer haben keinen Zugriff auf Mandanten-Daten.
Mandanten-Akten-Klassifikations-Workflow: Automatisierte tägliche Scans, sind alle Mandanten-Dateien korrekt gelabelt? Reports für Compliance-Audit.
BRAO-konformes KI-Einsatz-Konzept: Welche LLMs sind für welche Arbeiten erlaubt? Default: Mandantendaten nicht ins LLM. Explizit freigegeben nur mit DLP-Filter."

Konkrete Angebote

Was Sie übernehmen lassen können

M365-Mandantendatenschutz-Hardening

Information Barriers, Customer Lockbox, Sensitivity Labels vollständig konfigurieren und testen.
Information-Barriers-Konfiguration

Mandanten-Segmentierung nach Kanzlei-Struktur, Cross-Mandant-Zugriff unterbinden, Audit-Logs etablieren.
Sensitivity-Label-Schema

Klassifikations-Framework (Öffentlich, Intern, Vertraulich, Mandanten-Akte) mit Auto-Labeling für kritische Ordner.
BYOK-Encryption-Setup

Azure Key Vault mit Kanzlei-eigenen Schlüsseln, Mandanten-Daten verschlüsselt unter Kanzlei-Kontrolle.
Mandanten-Akten-Klassifikations-Workflow

Tägliche automatisierte Scans auf Labeling-Konformität, Reports für Compliance-Audits und Versicherer.
BRAO-konformes KI-Einsatz-Konzept

Policy, welche LLMs für welche Arbeiten erlaubt sind. Default: kein Mandantendaten-Send ohne DLP-Filter.

Regulatorischer Rahmen

Pflichten, die wir adressieren

Recht und Steuerberatung sind 2026 mehrfach geschützte Berufe — BRAO §43a und StBerG §57 mit absoluter Verschwiegenheitspflicht, dazu BORA und BOStB als Berufs-Richtlinien, DSGVO als Grundlage, GoBD für Steuer-relevante Daten und der EU AI Act für KI-Einsatz in Mandats-Verarbeitung.

BRAO §43a

BRAO · §43a Verschwiegenheitspflicht und Schutz vor Strafverfolgung

Absolute Verschwiegenheitspflicht über alle Mandanten-Informationen — kein Drittstaaten-Zugriff, keine unkontrollierte Datenübermittlung, kein automatisches Trainings-Sharing. Wir bauen die Architektur, die das hält: BYOK-Encryption, Information Barriers in M365, EU-Cloud mit BaFin-akzeptiertem Sub-Processor-Setup und Audit-Trail jeder Mandanten-Aktion.
BRAO §53

BRAO · §53 Akteneinsicht und Aufbewahrungspflichten

Schreibt vor, wie und wie lange Mandantenakten aufbewahrt werden müssen — typisch 6 Jahre, in Einzelfällen länger. Wir bauen den retention-konformen Archivierungs-Stack mit verschlüsselter Langzeit-Speicherung und auditierbarem Zugriff.
BORA

BORA · Berufsordnung für Rechtsanwälte (§§6–13, 19–30)

Konkretisiert BRAO mit technischen und organisatorischen Pflichten — Zugangsschutz, Berechtigungskonzepte, Datenklassifikation, Audit-Fähigkeit. Wir liefern den BORA-konformen Implementation-Stack mit kanzlei-spezifischen Härtungs-Profilen und Schulungs-Programmen für das gesamte Kanzlei-Team.
StBerG §57

StBerG · §57 Berufsgeheimnis Steuerberater

Analog BRAO §43a für Steuerberater — absolute Verschwiegenheit, kein Drittstaaten-Zugriff, Sorgfaltspflicht in der IT-Auswahl. Wir bauen die Architektur, die BRAO/StBerG parallel hält, mit gemeinsamem Mandantendatenschutz-Layer für gemischte Kanzleien.
BOStB

BOStB · Berufsordnung der Steuerberater

Konkretisiert StBerG mit Pflicht zu technischen und organisatorischen Maßnahmen — Verschlüsselung, Zugangskontrollen, Audit-Fähigkeit, Daten-Backup mit Restore-Tests. Wir bauen den BOStB-konformen IT-Stack und dokumentieren laufend die Konformität für Berufskammer-Audits.
GoBD

GoBD · Grundsätze ordnungsgemäßer Buchführung in digitaler Form

Für Steuer-relevante Daten (Buchhaltung, Belege, Steuer-Akten): Unveränderbarkeit, Nachvollziehbarkeit, Vollständigkeit, Aufbewahrung 10 Jahre. Wir bauen den GoBD-konformen Archivierungs-Stack mit WORM-Charakteristik und Audit-Trail jeder Datenänderung.
DSGVO Art. 9

DSGVO · Art. 9 Besondere Kategorien (Mandanten-Daten)

Mandanten-Daten enthalten oft besondere Kategorien (Gesundheit, Sexualleben, ethnische Herkunft, politische Meinung, religiöse Überzeugung) — Verarbeitungs-Verbot mit engen Ausnahmen. Wir bauen Privacy-by-Design (Minimierung, Pseudonymisierung) und dokumentieren Rechtsgrundlage pro Verarbeitungs-Aktion.
DSGVO Art. 32

DSGVO · Art. 32 technische und organisatorische Maßnahmen

Pflicht zu angemessenen TOMs — Verschlüsselung, Pseudonymisierung, Wiederherstellbarkeit, Schwachstellen-Management. Wir liefern den TOMs-Katalog im Aufsichts-Format, dokumentieren die Maßnahmen-Umsetzung und führen jährliche Wirksamkeits-Reviews durch.
AI Act

EU AI Act · Art. 6 KI-Einsatz in Mandats-Verarbeitung

KI-Tools für Vertragsanalyse, Mandanten-Klassifikation oder automatisierte Schriftsatz-Generierung können unter Hochrisiko-KI fallen — Governance, Transparenz, menschliche Aufsicht sind Pflicht. Wir bauen den BRAO-konformen KI-Stack mit DLP-Filterung gegen Mandanten-Daten-Leaks, Audit-Trail und expliziter Freigabe-Logik.

Branchen-Fakten

Stand: 2026-05-27 · Quelle: dynexo Operations + BRAO/StBerG-Regulierung
Typische Mandats-Größe	10–500 Anwälte/Steuerberater pro Kanzlei (Solos bis große Kanzleien)
Häufigste Trigger	Cyber-Insurance-Audit, BRAO-Beschwerde nach Datenschutz-Vorfall, Mandanten-Datenschutz-Anfrage, Audit-Readiness
Typisches Betriebsmodell	EU-Cloud (M365 mit BYOK + Information Barriers) gehärtet · Optional On-Prem für Hochrisiko-Mandanten (mit sehr sensiblen Daten: Erbschaften, Geheimzeugen, etc.)
Kernregulierung	BRAO §43a, BORA (Anwälte), StBerG §57 (Steuerberater), DSGVO Art. 32, GoB (für Steuerberater)
Nova9-Module im Einsatz	Business Agents (M365 Mandanten-Datenschutz-Automatisierung), Endpoint Agents (Anwalt-Laptop-Kontrolle), LLM Gateway (DLP für Mandantendaten), Knowledge Base (BRAO/StBerG-Anforderungen)
Typisches Onboarding	14–30 Tage (M365-Audit, Information-Barriers-Setup, Label-Schema, BYOK-Konfiguration, Training)
Audit-Mirror	Vollständig in EU · Retention: 30 Jahre (BRAO/StBerG-Aufbewahrungsfristen für Akte)
Klon-Übergabe	Verfügbar — kritisch für Kontinuität nach Agent-Ausstieg (Kanzleien sind oft 1-Person-IT)

Oft gefragt

Was vor dem Briefing oft gefragt wird

Können Mandantendaten in die Cloud — oder nur On-Prem?

Mit BYOK, Information Barriers und Customer Lockbox: ja, Cloud ist BRAO-konform. Ihre Daten sind verschlüsselt unter Ihrer Kontrolle, Microsoft sieht nie den Klartext. Falls Sie noch strenger sein wollen (z.B. für Hochrisiko-Mandanten): On-Prem-Optionen haben wir auch. Cloud mit BYOK ist aber der Standard.
Welche LLMs sind BRAO-fähig?

Bei lokaler Verarbeitung oder über Gateway mit DLP-Filter: viele. Default ist No-Send für Mandantendaten ohne explizite Freigabe. Business Agents können mit lokalen Modellen laufen — auch Offline. Das ist der sicherste Weg.
Können wir Microsoft loswerden — ist eine andere Cloud-Suite besser?

Selten der Mühe wert. M365 ist Standard für Kanzleien, und mit BYOK + Information Barriers ist es robust gehärtet. Alternativen (Nextcloud, OpenStack) brauchen mehr Betrieb und haben weniger Funktionen. Wir härten M365 lieber — das ist wirksamer.
Ab wann lohnt sich das Mandat?

Ab 10 Anwälten/Steuerberatern. Einzelkanzleien (1–3 Personen) können simplere Lösungen nehmen. Größere Kanzleien (50+) brauchen volle Automatisierung — da ist der Nutzen sofort klar. 10–50: grüne Zone.

Nächster Schritt

Wie machen wir Ihre Kanzlei-IT BRAO-konform?

Das Branchen-Briefing analysiert Ihre M365-Konfiguration (falls vorhanden), zeigt Mandanten-Datenschutz-Lücken und skizziert einen BYOK + Information-Barriers-Plan — mit realistischen Timelines und ohne Produktions-Unterbrechen.

Branchen-Briefing anfragen Sicherheits-Briefing buchen