Die DSGVO verlangt von einem Kanzlei-CRM eine tragfähige Rechtsgrundlage für jede Verarbeitung, einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem Anbieter, eine Datenverarbeitung auf europäischen Servern sowie klar definierte Löschfristen und durchsetzbare Betroffenenrechte. Für Anwältinnen und Anwälte kommt die berufsrechtliche Verschwiegenheitspflicht hinzu – Datenschutz ist hier kein Komfortthema, sondern Pflicht.

Rechtsgrundlage: Warum jede Verarbeitung legitimiert sein muss

Jede Verarbeitung personenbezogener Daten braucht nach Art. 6 DSGVO eine Rechtsgrundlage. In der Kanzlei sind das in der Regel die Anbahnung und Durchführung des Mandatsverhältnisses (Vertrag) sowie berechtigte Interessen bei der Pflege des beruflichen Netzwerks. Ein CRM, das Kontakte automatisch erfasst, muss diese Grundlagen abbilden können – etwa indem es Mandats-, Interessenten- und reine Netzwerkkontakte unterscheidet und sich granular steuern lässt, wer welche Informationen sieht.

Der Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO)

Sobald ein externer Anbieter im Auftrag der Kanzlei personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag zwingend. Er regelt Gegenstand und Dauer der Verarbeitung, die Art der Daten, die Pflichten des Anbieters, technische und organisatorische Maßnahmen sowie die Kontrollrechte der Kanzlei. Fehlt der AVV, ist die Verarbeitung formell rechtswidrig – unabhängig davon, wie sicher die Software technisch ist.

Für Kanzleien ist zusätzlich entscheidend, dass der Anbieter vertraglich zur Verschwiegenheit verpflichtet ist. Nur so lässt sich die berufsrechtliche Geheimhaltung auch gegenüber dem Dienstleister absichern. Mehr dazu im Beitrag BRAO-konformes CRM.

Serverstandort und EU-Hosting

Der Speicherort der Daten ist ein Kernkriterium. Eine Verarbeitung innerhalb der EU vermeidet die rechtlichen Unsicherheiten von Drittlandtransfers. Idealerweise läuft das CRM auf derselben Infrastruktur, die in der Kanzlei ohnehin im Einsatz ist.

Doraly setzt genau hier an: Die Daten werden auf europäischen Microsoft-Azure-Servern verarbeitet – derselben Infrastruktur, auf der auch Office 365 läuft. Mandantendaten werden zudem niemals zum Training von KI-Modellen verwendet.

Löschfristen und Datenminimierung

Die DSGVO verlangt, dass Daten nur so lange gespeichert werden, wie es der Zweck erfordert (Speicherbegrenzung), und dass von vornherein nur das Nötige verarbeitet wird (Datenminimierung). Praktisch bedeutet das definierte Löschkonzepte: Wann werden Kontakte gelöscht, die kein Mandat mehr betreffen? Welche berufs- und handelsrechtlichen Aufbewahrungsfristen greifen vorrangig? Ein gutes CRM macht diese Entscheidungen sichtbar und steuerbar, statt Daten unbegrenzt anzuhäufen.

Unterauftragsverarbeiter (Subprozessoren)

Setzt der Anbieter selbst Dienstleister ein – etwa für Hosting oder E-Mail-Synchronisation –, sind das Unterauftragsverarbeiter. Die Kanzlei muss wissen, wer beteiligt ist, und der AVV muss deren Einbindung regeln. Transparenz über die Kette der Verarbeiter ist Voraussetzung dafür, dass die Kanzlei ihrer eigenen Rechenschaftspflicht nachkommen kann. Wie Doraly diese Themen bündelt, zeigt der Abschnitt Sicherheit & Compliance.

Betroffenenrechte

Mandanten und Kontakte haben Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16) und Löschung (Art. 17). Ein CRM muss diese Rechte technisch unterstützen: Datensätze müssen auffindbar, exportierbar und vollständig löschbar sein. Funktionen wie Tags, Listen und eine saubere Netzwerkanalyse helfen nicht nur bei der Mandatsarbeit, sondern auch dabei, einer Betroffenenanfrage strukturiert nachzukommen. Welche Funktionen dafür sinnvoll sind, beschreibt der Beitrag CRM für Rechtskanzleien.

Fazit

Ein DSGVO-konformes Kanzlei-CRM steht auf vier Säulen: einer klaren Rechtsgrundlage, einem belastbaren Auftragsverarbeitungsvertrag, einem EU-Serverstandort und einem durchdachten Lösch- und Auskunftskonzept. Doraly wurde in Zusammenarbeit mit IT-Anwälten entwickelt, verarbeitet Daten auf europäischen Microsoft-Azure-Servern, verpflichtet den Anbieter vertraglich zur Verschwiegenheit und nutzt Mandantendaten nie für KI-Training – damit Datenschutz und anwaltliche Pflichten von Anfang an zusammenpassen.