DSGVO-konforme Mandantenakten als PDF: Der Praxisleitfaden für Rechtsanwälte

Die Einführung einer datenschutzkonformen PDF-Aktenführung erfordert einen strukturierten Ansatz. Es genügt nicht, einfach Papierdokumente einzuscannen und abzulegen. Jede Akte muss von Anfang an mit den richtigen Sicherheitsmerkmalen versehen werden. Dabei spielen Passwortschutz, Dateikompression für platzsparende Archivierung und die geordnete Zusammenführung aller relevanten Dokumente eine zentrale Rolle. Wer diesen Prozess einmal sauber definiert, profitiert langfristig von Effizienz, Rechtssicherheit und einem klaren Nachweis gegenüber der Datenschutzbehörde. Die folgenden Schritte bilden die Grundlage für eine professionelle, DSGVO-konforme PDF-Aktenführung in Ihrer Kanzlei.

1. 1Alle mandantenbezogenen Dokumente (Verträge, Schriftsätze, E-Mail-Anhänge, Scans) zu einer einheitlichen PDF-Akte zusammenführen – dabei auf eine klare Dateistruktur und aussagekräftige Dateinamen achten (z. B. Mandant_Nachname_Aktenzeichen_Datum.pdf).
2. 2Die fertige PDF-Akte mit einem starken Passwort versehen: Mindestens 12 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Das Passwort separat und sicher in einem Passwortmanager oder verschlüsseltem Tresor speichern – niemals in der Datei selbst oder in unverschlüsselten E-Mails.
3. 3Die geschützte Akte komprimieren, um Speicherplatz zu sparen und die sichere Übertragung zu erleichtern – ohne dabei die Lesbarkeit oder Qualität der Dokumente zu beeinträchtigen. Tools wie LazyPDF ermöglichen Kompression in einem Schritt direkt im Browser, ohne dass Daten auf externe Server hochgeladen werden müssen.
4. 4Die fertige, verschlüsselte und komprimierte Akte in einem DSGVO-konformen Archivsystem ablegen. Dabei sicherstellen, dass Zugriffsprotokolle geführt werden, nur autorisierte Mitarbeiter Zugang haben, und Backup-Kopien an einem zweiten, physisch getrennten Ort gespeichert sind.
5. 5Ein Verarbeitungsverzeichnis gemäß Art. 30 DSGVO führen, das dokumentiert, welche Mandantendaten für welchen Zweck verarbeitet werden, wer Zugriff hat, und wie lange die Daten aufbewahrt werden.

Die DSGVO enthält keine branchenspezifischen Sonderregelungen für Rechtsanwälte – das Anwaltsgeheimnis und die berufsrechtlichen Verschwiegenheitspflichten gemäß § 43a BRAO ergänzen den allgemeinen Datenschutzrahmen jedoch erheblich. In der Kombination entsteht ein besonders hoher Schutzstandard, den Kanzleien technisch und organisatorisch umsetzen müssen. Gemäß Art. 5 DSGVO gilt das Prinzip der Datensparsamkeit: Es dürfen nur die Daten erhoben und gespeichert werden, die für den jeweiligen Mandatsauftrag tatsächlich erforderlich sind. Art. 32 DSGVO verlangt zudem technische und organisatorische Maßnahmen (TOMs), die dem Risiko der Verarbeitung angemessen sind. Für Mandantenakten mit besonders sensiblen Daten – etwa Gesundheitsdaten, strafrechtlich relevante Informationen oder Finanzdetails – gelten die erhöhten Anforderungen des Art. 9 DSGVO. In der Praxis bedeutet das: PDF-Dateien mit Mandantendaten müssen mindestens passwortgeschützt und, bei besonders sensiblen Inhalten, zusätzlich durch AES-256-Verschlüsselung gesichert sein. Zugriffsrechte müssen nach dem Need-to-know-Prinzip vergeben werden. Jeder Zugriff auf sensible Akten sollte protokolliert werden. Beim Versand per E-Mail ist eine Ende-zu-Ende-Verschlüsselung obligatorisch – ein ungesichertes Anheften von Mandantendokumenten an normale E-Mails stellt eine klare DSGVO-Verletzung dar.

Der Passwortschutz einer PDF-Datei ist der erste und wichtigste technische Schutzwall für Mandantendaten. Moderne PDF-Verschlüsselung basiert auf dem AES-256-Standard (Advanced Encryption Standard mit 256-Bit-Schlüssellänge), der heute als unknackbar gilt, sofern ein starkes Passwort verwendet wird. Schwache Passwörter wie Geburtsdaten, Namen oder einfache Wortfolgen hebeln selbst die stärkste Verschlüsselung aus – sie können durch sogenannte Dictionary Attacks innerhalb von Minuten gebrochen werden. Bei der Wahl des richtigen PDF-Schutz-Tools sollten Anwaltskanzleien auf zwei Kriterien achten: Erstens muss das Tool tatsächlich AES-256-Verschlüsselung verwenden – nicht alle Programme, die Passwortschutz anbieten, nutzen diesen Standard. Zweitens sollte die Verarbeitung möglichst lokal im Browser oder auf einem vertrauenswürdigen Server erfolgen, um zu vermeiden, dass sensible Mandantendaten auf unbekannten Servern Dritter landen. LazyPDF verarbeitet PDF-Dateien direkt im Browser des Nutzers – die Dokumente verlassen das eigene Gerät nicht. Das ist für Anwaltskanzleien ein entscheidender Vorteil gegenüber cloudbasierten Diensten, bei denen Mandantendaten auf Servern in ggf. unbekannten Drittländern verarbeitet werden, was zusätzliche DSGVO-Probleme aufwerfen würde. Neben dem Passwortschutz bieten moderne PDF-Tools auch die Möglichkeit, Berechtigungen zu setzen: Drucken, Kopieren, Bearbeiten oder Annotieren können gezielt gesperrt werden. Für Mandantenakten empfiehlt sich eine restriktive Konfiguration, bei der nur das Lesen erlaubt ist und alle anderen Funktionen deaktiviert bleiben.

Die DSGVO verlangt nicht nur den Schutz von Daten während ihrer aktiven Nutzung, sondern stellt auch klare Anforderungen an die Aufbewahrung und schließlich die Löschung. Für Rechtsanwälte gelten dabei besondere Aufbewahrungsfristen, die sich aus Berufsrecht und Steuerrecht ergeben. Nach § 50 BRAO sind Rechtsanwälte verpflichtet, Handakten für die Dauer von sechs Jahren nach Abschluss des Mandats aufzubewahren. Für steuerrechtlich relevante Unterlagen gilt gemäß § 147 AO eine Aufbewahrungsfrist von zehn Jahren. Diese Fristen müssen bei der digitalen Archivierung berücksichtigt werden – und nach Ablauf der Frist besteht eine Löschpflicht gemäß Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung). Für die Langzeitarchivierung empfiehlt sich das PDF/A-Format (ISO 19005), das speziell für die Langzeitarchivierung entwickelt wurde und sicherstellt, dass Dokumente auch nach Jahrzehnten noch korrekt dargestellt werden können – unabhängig von der verwendeten Software. PDFs im Standard-Format können dagegen durch veraltete oder fehlende Schriftarten, eingebettete Multimedia-Elemente oder proprietäre Funktionen nach Jahren unleserlich werden. Wichtig für die Archivierung: Auch verschlüsselte Akten müssen langfristig zugänglich bleiben. Das bedeutet, dass Passwörter und Schlüssel sicher, aber dauerhaft und zugänglich aufbewahrt werden müssen – am besten in einem dedizierten Passwortmanagementsystem mit klarer Übergaberegelung für den Fall von Krankheit, Ausscheiden oder Tod des verantwortlichen Anwalts. Ein Archiv, das nach zehn Jahren nicht mehr geöffnet werden kann, weil das Passwort verloren gegangen ist, erfüllt seine Funktion nicht.