Steuerberater bewegen sich in Microsoft-365-Umgebungen nicht nur in einem technischen, sondern immer auch in einem rechtlichen Spannungsfeld. Die Verlagerung von Mandantendaten aus dem eigenen Büro in verteilte Cloud-Rechenzentren verändert Verantwortlichkeiten, Kontrollmechanismen und den Blick auf den Schutz von Geheimnissen und personenbezogenen Daten grundlegend.
Wer Microsoft 365 in der Kanzlei einsetzt, muss sich darüber im Klaren sein, dass Daten nicht mehr lokal, sondern in verteilten Systemen verarbeitet und gespeichert werden. Daraus ergeben sich zwingende Anforderungen aus der DSGVO – insbesondere aus Art. 28 und Art. 32 – sowie aus dem spezialgesetzlichen § 203 StGB. Diese Vorschriften sind keine theoretischen Leitplanken, sondern konkrete Maßstäbe, an denen sich jede Kanzleientscheidung messen lassen muss.
DSGVO und § 203 StGB – zwei Regelwerke, zwei Blickrichtungen
Die Datenschutz-Grundverordnung zielt primär auf den Schutz der Rechte und Freiheiten natürlicher Personen ab. Art. 28 DSGVO fordert bei der Verarbeitung durch Dienstleister den Abschluss eines Auftragsverarbeitungsvertrages (DPA), Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen nach dem Stand der Technik.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit bringt es in seinem Bericht „zum Einsatz von Microsoft 365 vom 15.11.2025“ klar auf den Punkt: Für die Beurteilung der Sicherheit der Verarbeitung ist der Stand der Technik maßgeblich – und dieser darf nicht unterschritten werden. Das ist kein „nice to have“, sondern eine Mindestanforderung.
§ 203 StGB setzt einen anderen Schwerpunkt. Hier geht es nicht um eine abstrakte Risikoabwägung für Betroffene, sondern um den Schutz des Geheimnisses selbst. Jede unbefugte Kenntnisnahme ist strafbar – unabhängig davon, ob datenschutzrechtliche Vorgaben formal eingehalten wurden. Für Steuerberater bedeutet das: DSGVO-Compliance schützt nicht automatisch vor strafrechtlicher Verantwortung.
Verträge, Zusatzvereinbarungen und Verantwortung
Verträge sind kein statisches Dokument, sondern müssen regelmäßig überprüft und fortgeschrieben werden. Der HBDI empfiehlt ausdrücklich, die Zuordnung der Anforderungen aus Art. 28 Abs. 3 DSGVO zum Microsoft-DPA genau zu prüfen. Ergänzend ist für Berufsgeheimnisträger eine Zusatzvereinbarung zu § 203 StGB zwingend notwendig, um die besonderen Anforderungen auch im Cloud-Betrieb abzubilden. Diese erhalten Sie durch uns oder Ihren CSP.
Technische Grundlagen: Verschlüsselung und Schlüsselhoheit
Technisch beginnt alles mit der Frage der Verschlüsselung – und mit der Frage, wer die Kontrolle über die Schlüssel behält. Double Key Encryption (DKE) arbeitet mit zwei Schlüsseln: einem bei Microsoft und einem beim Kunden. Ohne den zweiten Schlüssel bleibt der Datenbestand selbst im Supportfall unlesbar.
Azure Key Vault und Hardware Security Modules (HSM) ermöglichen es, kryptografische Schlüssel unter eigener Kontrolle zu verwalten. Entscheidend ist dabei nicht nur die Existenz dieser Systeme, sondern ihr Betrieb: Schlüssel müssen versioniert, erneuert und revisionssicher protokolliert werden.
Die Customer Lockbox ergänzt dieses Konzept organisatorisch. Sie stellt sicher, dass Microsoft im Supportfall erst nach expliziter Freigabe durch den Kunden auf Daten zugreifen darf. Die Lockbox ist keine gesetzliche Pflicht, entspricht aber eindeutig der Zielrichtung des § 203 StGB und reduziert das Risiko unautorisierter Zugriffe erheblich.
Pflichtmaßnahmen und Best Practices
Rechtlich zwingend sind ein wirksames DPA, eine Zusatzvereinbarung zu § 203 StGB sowie Maßnahmen nach Art. 32 DSGVO: Verschlüsselung ruhender und übertragener Daten, Zugriffskontrollen, Mehr-Faktor-Authentifizierung und regelmäßige Sicherheitsüberprüfungen.
Technische Maßnahmen wie Verschlüsselung und Zugriffskontrolle sind Pflicht. Features wie Customer Lockbox - oder bei hohen Sicherheitsanforderungen Double Key Encryption - sind Best Practices, die das verbleibende Restrisiko nahezu eliminieren.
Erweiterte Audit-Funktionen, eDiscovery und Microsoft Purview Plan 2 unterstützen die Nachweisführung und machen Compliance im Kanzleialltag prüf- und belegbar.
Lizenzmodelle realistisch bewerten
Nicht jede Kanzlei benötigt automatisch eine E5-Lizenz. Entscheidend ist, dass die gewählte Kombination die rechtlichen Anforderungen erfüllt und nachvollziehbar dokumentiert wird. E3-Lizenzen lassen sich gezielt durch Add-ons wie Purview Plan 2 oder Customer Lockbox ergänzen und erreichen damit funktional nahezu das E5-Niveau – bei deutlich geringeren Kosten.
Neben den reinen Lizenzkosten müssen Implementierung, Konfiguration, Schulungen und laufende Betreuung in die Gesamtbetrachtung einbezogen werden. Sicherheit ist kein Einmalprojekt, sondern ein fortlaufender Prozess.
DSFA als zentrales Steuerungsinstrument
Die Datenschutz-Folgenabschätzung ist keine Formsache, sondern das strukturierte Instrument zur Gesamtbewertung der Risiken. Auch ohne Customer Lockbox kann eine DSFA positiv ausfallen, wenn Risiken identifiziert, bewertet und durch geeignete Maßnahmen minimiert werden.
Entscheidend ist die Gesamtbetrachtung: Wo liegen welche Daten? Wer hat unter welchen Bedingungen Zugriff? Welche Restrisiken bleiben – und wie werden sie begründet und dokumentiert?
Risiken verstehen: extern, intern, organisatorisch
Risiken entstehen auf mehreren Ebenen: durch mögliche Zugriffe im Supportfall, durch externe Angriffe wie Phishing oder Malware und durch interne Fehler oder unzureichend geschützte Endgeräte. Technische Maßnahmen allein reichen nicht aus – Schulungen, klare Richtlinien und Sensibilisierung der Mitarbeitenden sind ebenso Teil einer wirksamen Sicherheitsstrategie.
Fazit: Verantwortung lässt sich nicht delegieren
Eine sichere Kanzlei entsteht nicht durch die Auswahl einer einzelnen Funktion oder Lizenz, sondern durch das Zusammenspiel aus rechtssicheren Verträgen, abgestimmten technischen Maßnahmen und einer gelebten Sicherheitskultur.
Die Verantwortung liegt beim Berater: Er muss die Anforderungen der DSGVO und des § 203 StGB kennen, technische Möglichkeiten bewerten und Entscheidungen begründet und dokumentiert treffen. Der datenschutzkonforme Einsatz von Microsoft 365 ist anspruchsvoll – aber mit Fachwissen, Struktur und einer klaren Strategie erreichbar. Bei Fragen sprechen Sie uns gerne an.
