Risikoanalyse bei Microsoft 365: Pflicht und Schutz für Kanzleien

Immer mehr Kanzleien setzen Microsoft 365 als zentrale Arbeitsplattform ein – sei es für Kommunikation, Dokumentenablage oder Kollaboration. Doch wer keine Risikoanalyse durchführt, riskiert mehr als nur eine Datenschutzrüge. Steuerberater und Rechtsanwälte sind sowohl an die DSGVO als auch an strenge berufsrechtliche Verschwiegenheitspflichten gebunden. Ohne fundierte Bewertung der eingesetzten Clouddienste können Bußgelder, Haftungsfälle und berufsrechtliche Sanktionen drohen. 

1. Rechtliche Grundlagen der Risikoanalyse

Die Pflicht zur Risikoanalyse ist in mehreren Normen verankert. Für Kanzleien bedeutet dies: Datenschutz-Compliance ist nicht optional, sondern eine gesetzliche Anforderung.  
 
Doch was genau versteht man unter einer Risikoanalyse im datenschutzrechtlichen Kontext? Eine ausführliche Einführung dazu findet sich im Blogbeitrag „Schutzschild für Ihre Daten“ 
 
Relevante Vorschriften sind u. a.: 

• Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht 

• Art. 24 DSGVO – Verantwortung des Verantwortlichen 

• Art. 32 DSGVO – Sicherheit der Verarbeitung 

• § 64 BDSG – ergänzende Vorgaben für Berufsgeheimnisträger 
  

Eine Risikoanalyse ist die Grundlage, um geeignete technische und organisatorische Maßnahmen (TOMs) risikoorientiert auszuwählen. Sie macht sichtbar, welche Gefahren für personenbezogene Daten bestehen, und ermöglicht es, diese gezielt mit angemessenen Maßnahmen zu behandeln. 

Ohne dokumentierte Risikoanalyse kann nicht nachgewiesen werden, dass Datenschutzrisiken korrekt bewertet wurden – ein Verstoß gegen die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Mit ihr hingegen lässt sich nachvollziehbar darlegen, warum bestimmte Maßnahmen erforderlich sind, wie Risiken kontrolliert werden und dass die Umsetzung verhältnismäßig und wirksam erfolgt. 

2. Mögliche Konsequenzen bei fehlender Risikoanalyse

a) Datenschutzrechtliche Bußgelder nach DSGVO

Datenschutz-Aufsichtsbehörden können Bußgelder verhängen, wenn keine Risikoanalyse durchgeführt oder dokumentiert wurde. Besonders relevant ist dies bei: 

• Datenschutzvorfällen (z. B. Fehlkonfigurationen in Microsoft 365), 

• fehlenden Nachweisen zur Risikoabwägung, 

• unzureichender Bewertung von Datenflüssen (z. B. Telemetriedaten, Drittlandtransfers). 

Beispiele für Bußgeldrahmen: 

Wichtig: Schon die unterlassene Risikoanalyse stellt eine eigenständige Datenschutzverletzung dar – unabhängig davon, ob eine konkrete Datenpanne vorliegt. 

b) Berufsrechtliche Sanktionen

Neben der DSGVO sind auch die berufsrechtlichen Pflichten zu beachten: 

• Steuerberater 

• § 57 Abs. 1 StBerG: gewissenhafte Berufsausübung, einschließlich Datenschutz-Compliance 

• § 203 StGB: Verschwiegenheitspflicht – Gefahr bei unsicheren Cloudlösungen ohne Risikoanalyse 

• Mögliche Sanktionen durch die Steuerberaterkammern: Verweis, Geldbuße, Ruhen der Bestellung 

• Rechtsanwälte 

• § 43a BRAO: gewissenhafte Berufsausübung 

• Pflicht zur Mandatsverschwiegenheit (§ 43a Abs. 2 BRAO, § 203 StGB) 

• Mögliche Sanktionen durch die Rechtsanwaltskammern: Rüge, Geldbuße 

c) Zivilrechtliche Haftung

Ein Mandant, dessen Daten infolge einer fehlenden Risikoanalyse kompromittiert wurden, kann Schadensersatzansprüche nach Art. 82 DSGVO geltend machen. 

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ 
(Art. 82 DSGVO im Volltext) 

Gerichte haben wiederholt betont, dass schon unzureichende technische und organisatorische Maßnahmen Schadensersatzansprüche auslösen können: 

• LG München I, Urteil vom 09.12.2021 (Az. 31 O 16606/20) – 2.500 € Schadensersatz wegen unzureichender IT-Sicherheitsmaßnahmen nach einem Datenleck. 
    

• LG Köln, Urteil vom 18.05.2022 (Az. 28 O 328/21) – Schadensersatz nach Art. 82 DSGVO, weil die Sicherheitsmaßnahmen des Unternehmens nicht den Anforderungen entsprachen. 
  

Diese Beispiele verdeutlichen: Eine fehlende oder unzureichende Risikoanalyse kann bereits als Datenschutzverletzung gelten – und auch ohne massive Datenpanne zu erheblichen Ersatzforderungen führen. 

3. Risikoanalyse als Absicherung für den Einsatz von Microsoft 365

Die Risikoanalyse ist kein theoretisches Konstrukt, sondern ein praktisches Schutzinstrument für Kanzleien. Sie ermöglicht es, Microsoft 365 rechts- und berufsrechtskonform einzusetzen. Sie hilft auch vor Kauf einer Softwarelösung oder Auswahl eines Anbieters festzustellen, ob die Lösung für die individuellen Bedürfnisse des Unternehmens passend ist und welche Risiken die Wahl mit sich bringt und wie man das ganze ggf. konfigurieren muss. Wesentliche Schritte sind: 

• Bewertung der verarbeiteten Datenarten und deren Schutzbedarf 

• Analyse der Verarbeitungstätigkeiten in Microsoft 365 (z. B. Teams, SharePoint, Exchange) 

• Prüfung von Cloud-Risiken, insbesondere Telemetrie und mögliche Datenübermittlungen in Drittländer 

• Dokumentation im Datenschutzkonzept bzw. Verzeichnis der Verarbeitungstätigkeiten 

• Ableitung und Umsetzung technischer und organisatorischer Maßnahmen (z. B. Verschlüsselung, rollenbasierte Zugriffsrechte, Konfigurationsvorgaben) 

So wird die Risikoanalyse zur Schlüsselfunktion, um die Anforderungen aus DSGVO, BDSG und Berufsrecht zu erfüllen. 

Was tun? 

Wer sich näher mit der Risikoanalyse für Microsoft 365 im Kanzleiumfeld befassen möchte, sollte sich professionelle Unterstützung sichern.

• „Kontakt aufnehmen für praxisnahe Unterstützung bei Microsoft 365 Compliance“ 
• „Workshop zur datenschutzkonformen Nutzung von Microsoft 365 buchen“ 

Quellen: 

• Datenschutz-Grundverordnung (DSGVO), insbesondere Art. 5, 24, 32, 82 

• Bundesdatenschutzgesetz (BDSG), § 64 

• Steuerberatungsgesetz (StBerG), § 57 Abs. 1 

• Bundesrechtsanwaltsordnung (BRAO), § 43a 

• Strafgesetzbuch (StGB), § 203