Microsoft 365-Datensicherung für Kanzleien: Was BRAO, GoBD und DSGVO wirklich verlangen
Microsoft sichert die Infrastruktur von Exchange Online – nicht Ihre Mandantendaten. Für Anwaltsbüros und Notariate bestehen jedoch klare berufsrechtliche und datenschutzrechtliche Pflichten zur Datensicherung. Dieser Beitrag erklärt die Risiken, die Rechtslage und wie die Lücke professionell geschlossen wird.
1. Was Microsoft absichert - und was nicht
Microsoft 365 ist aus modernen Kanzleien kaum wegzudenken. Exchange Online übernimmt die E-Mail-Kommunikation, Teams die interne Zusammenarbeit, OneDrive die Dokumentenablage. Doch es besteht ein weit verbreitetes Missverständnis darüber, was Microsoft dabei eigentlich schützt.
Microsoft übernimmt bei Exchange Online ausschließlich die Verfügbarkeit der Infrastruktur. Für den Schutz der eigentlichen Daten – E-Mails, Kalender, Kontakte, Teams-Inhalte – sind die Nutzer selbst verantwortlich. Dies ist im Shared Responsibility Model von Microsoft vertraglich klar geregelt.
Das bedeutet konkret: Werden Daten versehentlich gelöscht, durch Ransomware verschlüsselt oder im Zuge eines Mitarbeiteraustritts entfernt, stellt Microsoft keine automatische Wiederherstellung bereit. Ohne eigenes Backup sind diese Daten in vielen Fällen unwiederbringlich verloren.
2. Typische Verlustszenarien in der Kanzleipraxis
In Anwaltsbüros und Notariaten entstehen Datenverluste in Microsoft 365 häufig durch vier wiederkehrende Szenarien:
Versehentliche Löschung
Mitarbeitende löschen E-Mails, Termine oder Kontakte – bewusst oder irrtümlich. Nach Ablauf der kurzen Microsoft-Retentionsfrist sind diese unwiederbringlich verloren.
Ransomware-Angriffe
Schadsoftware kann auch Cloud-Daten in Exchange Online verschlüsseln oder löschen. Ohne unveränderliche Sicherungskopie (Immutable Backup) gibt es keine sichere Wiederherstellungsoption.
Mitarbeiteraustritt
Beim Offboarding werden Lizenzen und Postfächer deaktiviert. Mandatsrelevante Kommunikation aus diesem Postfach ist ohne vorheriges Backup nicht mehr zugänglich.
Ablauf von Retentionsfristen
Microsoft-interne Aufbewahrungsrichtlinien löschen ältere Daten automatisch. Diese Fristen entsprechen nicht zwingend den berufsrechtlichen Aufbewahrungspflichten.
3. Mehr als E-Mails: Die gesamte Microsoft-365-Umgebung ist betroffen
Der Fokus liegt meist auf E-Mails – zu Recht, denn die mandatsrelevante Kommunikation per E-Mail ist für Rechtsanwälte und Notare berufsrechtlich besonders schützenswert. Doch Microsoft 365 ist mehr als Exchange Online.
| Datenkategorie | Relevanz für Kanzleien | Verlustrisiko ohne Backup |
|---|---|---|
| E-Mails (Exchange Online) | Mandatskommunikation, Schriftverkehr mit Gerichten, Fristen | Hoch – versehentliche Löschung, Ransomware, Mitarbeiteraustritt |
| Kalender & Termine | Fristentermine, Besprechungen, Gerichtstermine | Mittel – Terminverlust kann Fristversäumnisse auslösen |
| Kontakte | Mandantendaten, Kommunikationsdaten, Behördenkontakte | Mittel – mandatsbezogene Kontaktdaten nach DSGVO schützenswert |
| Microsoft Teams | Besprechungsprotokolle, abgelegte Dokumente, Chat-Verläufe | Hoch – rechtlich und beweistechnisch relevant |
| OneDrive | Kanzleidokumente, Entwürfe, Vorlagen | Mittel bis Hoch – je nach Ablagestruktur |
Für Kanzleien ist die Datensicherung keine freiwillige IT-Maßnahme, sondern eine berufsrechtliche und gesetzliche Pflicht. Die relevanten Rechtsgrundlagen im Überblick:
4. Berufs- und haftungsrechtliche Pflichten im Überblick
Rechtliche Pflichten zur Datensicherung – Kurzübersicht
- BRAO & BORA (Rechtsanwälte): Verpflichten zur Sicherung der gesamten mandatsrelevanten Kommunikation. Datenverluste können berufsrechtliche Konsequenzen nach sich ziehen.
- BNotO (Notare): Schreibt die Sicherung beurkundungsrelevanter Unterlagen und Kommunikation vor.
- GoBD (Grundsätze ordnungsgemäßer Buchführung): Verlangt revisionssichere Aufbewahrung geschäftlicher E-Mails für sechs bis zehn Jahre.
- DSGVO: Datenverluste personenbezogener Daten (Mandantendaten) lösen Meldepflichten gegenüber der Aufsichtsbehörde aus und können Bußgelder nach sich ziehen.
Haftungshinweis:
| Rechtsgrundlage | Aufbewahrungsfrist | Adressaten |
|---|---|---|
| BRAO / BORA | Solange für die Mandatsbearbeitung erforderlich, mind. bis zur Verjährung | Rechtsanwälte |
| BNotO | Mind. 10 Jahre für beurkundungsrelevante Unterlagen | Notare |
| GoBD | 6 Jahre (laufende Geschäftsbriefe), 10 Jahre (buchungsrelevante E-Mails) | Alle Unternehmen inkl. Kanzleien |
| DSGVO Art. 5 | Solange der Verarbeitungszweck besteht (Zweckbindung) | Alle Verantwortlichen |
5. Ablage in der Kanzleisoftware vs. Backup
In der Kanzleipraxis begegnet uns ein häufiges Missverständnis: Viele Kanzleien speichern E-Mails in ihrer Verwaltungs- oder Kanzleisoftware und gehen davon aus, dass diese Ablage einem Backup gleichkommt.
Wichtige Unterscheidung
Es werden zwei voneinander unabhängige Schutzschichten benötigt. Die eine ersetzt die andere nicht.
6. Die Lösung: Veeam Backup for Microsoft 365
Gemeinsam mit unserem Schwesterunternehmen, dem IT-Systemhaus mdi GmbH & Co. KG, empfehlen wir Kanzleien den Einsatz von Veeam Backup for Microsoft 365 – der Marktführerlösung im Bereich Datensicherung für Microsoft-Cloud-Umgebungen.
Was Veeam Backup for Microsoft 365 sichert
- E-Mails (Exchange Online) – Vollständige Sicherung aller Postfächer inkl. Shared Mailboxes (info@, sekretariat@ u. ä.) – letztere kostenfrei, sofern nicht als persönliche Konten genutzt.
- Kalender & Termine – Schutz vor fristgefährdenden Terminverlusten durch automatisierte Sicherung aller Kalenderdaten.
- Kontakte – Sicherung mandatsbezogener Kommunikationsdaten aus dem Exchange-Adressbuch.
- Microsoft Teams – Sicherung von Besprechungsprotokollen, Chat-Verläufen und abgelegten Dokumenten.
- OneDrive – Sicherung von Kanzleidokumenten und Arbeitsdateien in der persönlichen Cloud-Ablage.
Technische und compliance-relevante Merkmale
- Granulare Wiederherstellung – Einzelne E-Mails, Termine oder Kontakte können gezielt wiederhergestellt werden – ohne den gesamten Datenbestand zurückzuspielen.
- Immutable Backup (Ransomware-Schutz) – Unveränderliche Sicherungskopien können weder durch Ransomware verschlüsselt noch nachträglich manipuliert werden.
- Revisionssichere Aufbewahrungsrichtlinien – Aufbewahrungsfristen nach GoBD und Berufsrecht lassen sich direkt in der Lösung abbilden.
- DSGVO-konformer Betrieb in Deutschland – Daten werden ausschließlich in deutschen Rechenzentren gespeichert – kein Datentransfer in Drittstaaten.
- Managed Service durch mdi – Einrichtung, Betrieb und Monitoring übernimmt mdi vollständig. Für die Kanzlei entsteht kein IT-Mehraufwand.
Hinweis für bestehende Veeam-Nutzer
7. Häufige Fragen (FAQ)
Sichert Microsoft meine E-Mails in Exchange Online automatisch?
Nein. Microsoft sichert bei Exchange Online lediglich die Verfügbarkeit der Infrastruktur. Für den Schutz der eigentlichen Daten – E-Mails, Kalender, Kontakte – sind die Nutzer selbst verantwortlich. Dies ist im Shared Responsibility Model von Microsoft vertraglich klar geregelt. Versehentlich gelöschte oder durch Ransomware vernichtete Daten können ohne eigenes Backup unwiederbringlich verloren gehen.
Welche gesetzlichen Pflichten zur E-Mail-Sicherung gelten für Anwaltsbüros und Notariate?
Für Rechtsanwälte schreiben BRAO und BORA die Sicherung mandatsrelevanter Kommunikation vor. Für Notare gilt die BNotO entsprechend für beurkundungsrelevante Unterlagen. Zusätzlich verpflichtet die GoBD zur revisionssicheren Aufbewahrung geschäftlicher E-Mails für sechs bis zehn Jahre. Datenverluste können darüber hinaus unter der DSGVO Meldepflichten und Bußgelder auslösen, da Mandantendaten personenbezogene Daten im Sinne der Verordnung sind.
Ist die Ablage von E-Mails in der Kanzleisoftware ein ausreichendes Backup?
Nein. Die Ablage von E-Mails in einer Kanzlei- oder Verwaltungssoftware ist eine organisatorische Maßnahme, kein Backup. Sie ersetzt die direkte Sicherung des Exchange-Online-Postfachs nicht: E-Mails, die noch nicht abgelegt wurden oder direkt im Postfach verloren gehen, sind ohne separates Backup nicht geschützt. Es werden zwei voneinander unabhängige Schutzschichten benötigt – die Kanzleisoftware-Ablage und ein eigenständiges Cloud-Backup.
Was ist der Unterschied zwischen Veeam Backup for Microsoft 365 und Veeam Backup & Replication?
Veeam Backup & Replication sichert lokale oder serverbasierte Systeme und Infrastruktur. Veeam Backup for Microsoft 365 ist ein eigenständiges, separates Produkt, das speziell die Cloud-Daten in Microsoft 365 absichert. Eine bestehende Veeam-Umgebung für lokale Server deckt Exchange Online, Teams oder OneDrive nicht ab. Kanzleien, die beide Umgebungen betreiben, benötigen beide Lösungen.
Werden Shared Mailboxes (z. B. info@, sekretariat@) mitgesichert?
Ja. Gemeinsam genutzte Postfächer wie info@, sekretariat@ oder ähnliche Adressen können in der Regel kostenfrei mitgesichert werden, sofern sie nicht als persönliche Konten genutzt werden. Dies ist für Kanzleien relevant, da über solche zentralen Postfächer häufig mandatsrelevante Erstkommunikation eingeht.
Jetzt die Backup-Lücke in Ihrer Kanzlei schließen
Über das IT-Systemhaus mdi: mdi GmbH & Co. KG ist ein IT-Systemhaus mit langjähriger Erfahrung in der Betreuung von Kanzleien und Unternehmen. mdi plant, implementiert und betreibt IT-Infrastrukturen als Managed Service – von der Netzwerk- und Serverinfrastruktur über Cloud-Lösungen bis hin zur Datensicherung. Das Angebot für Veeam Backup for Microsoft 365 wird von mdi vollständig eingerichtet. mdi ist ein Schwesterunternehmen von NoRA GmbH, dem Kanzleisoftware-Spezialisten für Anwaltsbüros und Notariate, für Rechtsabteilungen sowie für rechtsberatende Verbände.
