BRAO-Compliance für ein CRM bedeutet, dass die Software die anwaltliche Verschwiegenheitspflicht (§ 43a BRAO) lückenlos technisch und vertraglich absichert – von der Speicherung der Mandantendaten bis zum Einsatz von KI.

Ein CRM verarbeitet genau die Informationen, die dem Berufsgeheimnis unterliegen: Namen, Mandatsbezüge, Netzwerke, Korrespondenz. Wer hier das falsche System wählt, riskiert nicht nur einen Datenschutzverstoß, sondern eine berufsrechtliche Pflichtverletzung. Die folgende Checkliste fasst zusammen, worauf es ankommt.

1. Verschwiegenheit vertraglich absichern

Die Verschwiegenheitspflicht endet nicht beim Anbieter Ihrer Software. Prüfen Sie:

Vertragliche Verpflichtung zur Verschwiegenheit. Der Anbieter muss sich – unter Strafandrohung – zur Wahrung der anwaltlichen Verschwiegenheit verpflichten, nicht nur zu allgemeinem Datenschutz.
Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Ein AVV ist Pflicht und regelt Zweck, Umfang und Weisungsgebundenheit der Verarbeitung.
Keine unkontrollierten Unterauftragnehmer. Subunternehmer dürfen nur mit klar geregelter Kette der Verschwiegenheit eingebunden werden.

2. Serverstandort und Infrastruktur prüfen

Wo Mandantendaten liegen, entscheidet über die berufsrechtliche Zulässigkeit:

Verarbeitung in der EU. Die Daten sollten ausschließlich auf europäischen Servern verarbeitet werden – ohne Zugriffsrisiko durch Drittstaaten.
Vertrauenswürdige Infrastruktur. Idealerweise dieselbe Umgebung, der Ihre Kanzlei ohnehin vertraut – etwa europäische Microsoft-Azure-Server, auf denen auch Office 365 läuft.
Verschlüsselung. Daten müssen bei Übertragung und Speicherung verschlüsselt sein.

Doraly läuft auf europäischen Microsoft-Azure-Servern – derselben Infrastruktur wie Office 365 – und der Anbieter ist vertraglich, unter Strafandrohung, zur anwaltlichen Verschwiegenheit verpflichtet.

3. KI-Einsatz kritisch hinterfragen

Moderne CRM-Systeme nutzen KI für Kontakterfassung und Netzwerkanalyse. Das ist nur dann berufsrechtlich tragbar, wenn:

Mandantendaten niemals zum Training von KI-Modellen verwendet werden. Dies ist der wichtigste Prüfpunkt überhaupt.
Keine Datenweitergabe an externe KI-Anbieter ohne entsprechende vertragliche und technische Absicherung erfolgt.
Transparenz besteht, welche Daten die KI verarbeitet und zu welchem Zweck.

4. Zugriffsrechte granular steuern

Verschwiegenheit ist auch eine Frage der internen Sichtbarkeit:

Nutzerbezogene Privatsphäre. Jede Person sollte selbst entscheiden, welche Kontakte privat bleiben und welche im Team geteilt werden.
Rollen- und Rechtekonzept. Nicht jeder in der Kanzlei muss jedes Mandat sehen.
Nachvollziehbarkeit. Zugriffe und Synchronisationen – etwa über Outlook-Sync – sollten transparent bleiben.

5. Löschung und Datenkontrolle sicherstellen

Compliance endet nicht beim Erfassen, sondern beim Beenden eines Mandats:

Definierte Löschfristen. Personenbezogene Daten müssen nach Wegfall des Zwecks gelöscht werden können.
Datenportabilität. Sie müssen Ihre Daten exportieren und – etwa über eine API – kontrollieren können.
Keine Lock-in-Falle. Die Datenhoheit bleibt bei der Kanzlei.

6. Entwicklung mit Rechtsexpertise

Software, die berufsrechtliche Besonderheiten von Anfang an mitdenkt, schützt besser als nachträglich angepasste Standardlösungen:

Entwicklung mit IT-Anwälten. Wurde die Lösung gemeinsam mit IT-Rechtsexpertise konzipiert?
Privacy und Compliance by Design. Sind datenschutzfreundliche Voreinstellungen der Standard, nicht die Ausnahme?

Weiterführend: DSGVO- und BRAO-konformes CRM und CRM für Rechtskanzleien.

Fazit

BRAO-Compliance ist kein Häkchen, sondern ein durchgängiges Konzept: vom Serverstandort über die KI-Nutzung bis zur vertraglichen Verschwiegenheit. Doraly wurde in Zusammenarbeit mit IT-Anwälten entwickelt, läuft auf europäischen Microsoft-Azure-Servern und verwendet Mandantendaten niemals zum Training von KI-Modellen. So bleibt das, was vertraulich ist, auch vertraulich.