Digitale Mandatsakte DSGVO-konform als PDF führen
Die digitale Mandatsakte ist für moderne Rechtsanwaltskanzleien längst kein Zukunftsprojekt mehr – sie ist gelebte Realität. Gleichzeitig stellt die DSGVO erhöhte Anforderungen an die Verarbeitung und Speicherung personenbezogener Daten, die in Mandantenverhältnissen zwangsläufig anfallen: Name, Adresse, Geburtsdatum, Gesundheitsdaten, Vermögensverhältnisse, strafrechtliche Vorwürfe – die Liste ist lang und hochsensibel. Ein Rechtsanwalt, der Mandatsakten digital als PDF führt, bewegt sich im Spannungsfeld zwischen Effizienz, anwaltlicher Verschwiegenheitspflicht nach § 43a BRAO und den technisch-organisatorischen Maßnahmen (TOM) der DSGVO nach Art. 32. Wer hier leichtfertig vorgeht, riskiert nicht nur Bußgelder durch die Datenschutzbehörden, sondern auch berufsrechtliche Konsequenzen. Dieser Leitfaden zeigt Ihnen, wie Sie Mandatsakten als PDF anlegen, strukturieren, schützen und rechtskonform archivieren. Wir gehen konkret auf die DSGVO-Anforderungen ein und erläutern, welche technischen Maßnahmen Sie beim Umgang mit PDF-Mandatsakten zwingend ergreifen müssen. Ob Sie allein praktizieren oder eine größere Sozietät führen – die Grundprinzipien gelten für alle.
DSGVO-Anforderungen an die digitale Mandatsakte
Die DSGVO legt in Art. 5 die Grundsätze der Datenverarbeitung fest: Zweckbindung, Datensparsamkeit, Richtigkeit, Speicherbegrenzung und Integrität. Für die digitale Mandatsakte bedeutet das konkret: Sie dürfen nur Daten erheben, die für die Mandatsbearbeitung notwendig sind, müssen sie nach Abschluss des Mandats löschen oder anonymisieren (sofern keine gesetzliche Aufbewahrungspflicht besteht) und müssen technisch sicherstellen, dass kein Unbefugter Zugriff auf die Akten erhält. Art. 32 DSGVO verlangt angemessene technisch-organisatorische Maßnahmen. Für PDF-Mandatsakten bedeutet das: Verschlüsselung der gespeicherten Dateien (mindestens AES-256), Zugangskontrolle (Passwörter, Zwei-Faktor-Authentifizierung), Protokollierung von Zugriffen und ein Backup-Konzept. Außerdem müssen Sie ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen, das die Mandantenakten als Verarbeitungsvorgang dokumentiert.
- 1Erstellen Sie für jeden Mandanten eine eigene PDF-Mandatsakte mit eindeutigem Dateinamen (z. B. Mandantennummer + Jahr).
- 2Schützen Sie jede Mandatsakte mit einem starken Passwort über das LazyPDF-Protect-Tool.
- 3Speichern Sie die Akten auf einem verschlüsselten Laufwerk oder in einem DSGVO-konformen Kanzlei-DMS.
- 4Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.
- 5Definieren Sie Löschfristen: In der Regel 6 Jahre nach Mandatsende (§ 195 BGB analog).
- 6Schulen Sie alle Mitarbeiter im Umgang mit vertraulichen Mandatsakten.
Mandatsakten-PDF strukturieren und zusammenführen
Eine vollständige digitale Mandatsakte besteht aus mehreren Dokumenten: dem Mandatsauftrag, der Vollmacht, dem Schriftwechsel mit dem Mandanten, Gerichtsschreiben, Verträgen, Gutachten und abschließenden Urteilen oder Vergleichen. Diese Dokumente kommen häufig aus unterschiedlichen Quellen – manche sind bereits digital, andere werden eingescannt. Mit dem LazyPDF-Merge-Tool können Sie alle Einzeldokumente einer Mandatsakte in einer einzigen, durchsuchbaren PDF-Datei zusammenführen. Das hat erhebliche Vorteile: Eine einzige Datei ist einfacher zu schützen, einfacher zu übermitteln und reduziert das Risiko, dass einzelne Dokumente verloren gehen oder nicht zugeordnet werden können. Für die Strukturierung empfiehlt sich eine feste Kapitelreihenfolge: 1. Stammdaten und Vollmacht, 2. Schriftwechsel (chronologisch), 3. Gegnerische Schriftsätze, 4. Gerichtliche Dokumente, 5. Verträge und Anlagen. Diese Struktur erleichtert sowohl die eigene Bearbeitung als auch die Übergabe an einen Vertretungsanwalt oder bei Kanzleiwechsel.
Sichere Übermittlung von Mandatsakten per PDF
Die Übermittlung von Mandatsakten per E-Mail ist einer der häufigsten Datenschutzfehler in Anwaltskanzleien. Unverschlüsselte E-Mails sind wie Postkarten – der Inhalt kann unterwegs gelesen werden. Die DSGVO verlangt für den Transfer personenbezogener Daten geeignete Schutzmaßnahmen, insbesondere bei sensiblen Daten wie Gesundheitsinformationen oder strafrechtlichen Sachverhalten. Die beA (besonderes elektronisches Anwaltspostfach) ist für die Kommunikation mit Gerichten und anderen Anwälten verpflichtend und Ende-zu-Ende-verschlüsselt. Für die Kommunikation mit Mandanten selbst empfiehlt sich entweder ein verschlüsseltes Mandantenportal oder zumindest ein passwortgeschütztes PDF, dessen Passwort auf einem anderen Kanal übermittelt wird. LazyPDF ermöglicht es, PDF-Dokumente mit einem Öffnungspasswort zu versehen, bevor sie per E-Mail versendet werden. Das ist zwar kein vollwertiger Ersatz für Ende-zu-Ende-Verschlüsselung, bietet aber einen zusätzlichen Schutzlayer für den Routinebetrieb. Dokumentieren Sie diese Maßnahme in Ihren TOMs.
Aufbewahrung und Löschung von Mandatsakten
Nach Abschluss eines Mandats stellt sich die Frage der Aufbewahrung. Die Bundesrechtsanwaltskammer empfiehlt eine Aufbewahrungsfrist von mindestens fünf, besser zehn Jahren. Hintergrund sind die zivilrechtlichen Verjährungsfristen: Manche Ansprüche verjähren erst nach zehn Jahren (§ 197 BGB), und im Fall von Regressansprüchen müssen Sie die Akte vorlegen können. Gleichzeitig gebietet die DSGVO die Speicherbegrenzung: Daten dürfen nicht länger aufbewahrt werden, als es der Zweck erfordert. Das scheinbare Spannungsverhältnis löst sich auf, wenn Sie klare Aufbewahrungsfristen dokumentieren und nach deren Ablauf eine geordnete Löschung durchführen. Erstellen Sie dafür ein Löschkonzept und automatisieren Sie – soweit möglich – die Löschungserinnerungen in Ihrem DMS. PDF-Mandatsakten, die aus dem System gelöscht werden, sollten auch aus allen Backups restlos entfernt werden. Achten Sie daher darauf, dass Ihr Backup-System selektive Löschungen unterstützt.
Häufig gestellte Fragen
Wie lange muss ich als Rechtsanwalt Mandatsakten aufbewahren?
Die Bundesrechtsanwaltskammer empfiehlt eine Aufbewahrungsfrist von mindestens fünf bis zehn Jahren nach Mandatsabschluss. Für Fälle mit langen Verjährungsfristen (§ 197 BGB: 30 Jahre für Grundbucheinträge, Erbschaften etc.) können längere Fristen sinnvoll sein. Nach Ablauf der Frist sind die Akten unter Berücksichtigung des Löschkonzepts zu vernichten.
Darf ich Mandatsakten in der Cloud speichern?
Ja, wenn der Cloud-Anbieter DSGVO-konform ist, also einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO anbietet und die Server in der EU oder einem Drittland mit angemessenem Datenschutzniveau stehen. Bekannte kanzleitaugliche Optionen sind DATEV DMS, Wolters Kluwer Kanzlei-Rechnungswesen oder spezialisierte Legal-Tech-Lösungen. Dropbox oder Google Drive ohne spezifischen AV-Vertrag sind für Mandatsakten nicht geeignet.
Muss ich Mandanten informieren, wenn ich ihre Akten digital führe?
Ja. Nach Art. 13 DSGVO müssen Sie Mandanten bei der Erhebung ihrer Daten über die Verarbeitung informieren – also auch darüber, dass Akten digital geführt und wie sie gespeichert werden. Dies geschieht in der Praxis durch eine Datenschutzerklärung im Mandatsauftrag oder als separates Dokument, das der Mandant unterschreibt. Die Erklärung sollte Art, Zweck, Dauer der Verarbeitung sowie Ihre TOMs in verständlicher Sprache beschreiben.
Was passiert, wenn ich als Anwalt eine Datenpanne mit Mandatsakten habe?
Bei einer Datenpanne – z. B. Verlust oder unbefugter Zugriff auf Mandatsakten – müssen Sie gemäß Art. 33 DSGVO innerhalb von 72 Stunden die zuständige Datenschutzbehörde melden. Wenn die Panne voraussichtlich ein hohes Risiko für die betroffenen Mandanten darstellt, müssen diese nach Art. 34 DSGVO ebenfalls informiert werden. Dokumentieren Sie jeden Vorfall sorgfältig und ergreifen Sie sofort Gegenmaßnahmen.