Mandantendaten sicher versenden: Was Schweizer Anwaltskanzleien 2026 wissen müssen
Kurzfassung: Das Anwaltsgeheimnis ist im digitalen Alltag schwerer zu wahren als im analogen. Unverschlüsselte E-Mails, US-Cloud-Dienste und improvisierte Datenräume sind im Lichte von revDSG, BGFA Art. 13 und der CLOUD-Act-Diskussion zunehmend problematisch. Dieser Artikel erklärt die rechtliche Lage, typische Fehler und worauf eine konforme Mandatskommunikation aufbauen muss.
Eine Szene, die sich in jeder Schweizer Kanzlei mehrmals pro Woche abspielt: Der Anwalt verhandelt einen Kaufvertrag für einen Unternehmensmandanten. Der Entwurf liegt in Version 14 vor. Die Gegenpartei will ihn heute Abend noch sehen. Also: Anhang an die Mail, senden, fertig. Drei Tage später fragt der Mandant nach der finalen Version – und der Anwalt muss sich durch 40 Mails arbeiten, um den aktuellen Stand zu finden.
Was hier passiert, ist doppelt problematisch. Organisatorisch, weil Mandatsakten in Mailinboxen verstreut sind. Rechtlich, weil die unverschlüsselte Übertragung sensibler Mandantendaten in einer Grauzone liegt.
Die rechtliche Ausgangslage: Drei überlagernde Normsysteme
1. Das Anwaltsgeheimnis
Das Anwaltsgeheimnis verpflichtet Anwältinnen und Anwälte zur Verschwiegenheit über alles, was ihnen im Rahmen des Mandats anvertraut wurde — zeitlich unbegrenzt. Nach verbreiteter Rechtsauffassung muss auch die technische Infrastruktur der Kanzlei der Wahrung dieser Vertraulichkeit dienen.
2. Das revidierte Datenschutzgesetz (revDSG)
Seit 1. September 2023 gilt das revDSG. Für Kanzleien besonders relevant:
- Besonders schützenswerte Personendaten (u.a. strafrechtliche Verfolgungen) — viele Mandatsakten fallen darunter
- Pflicht zur angemessenen Datensicherheit
- Auftragsverarbeitungsvertrag (AVV) bei Nutzung externer Dienste erforderlich
- Zusätzliche Anforderungen bei Datenübermittlung ins Ausland
- Meldepflicht an den EDÖB bei schwerwiegenden Datenpannen
3. Sektorspezifische Regelungen
Die Standesregeln des Schweizerischen Anwaltsverbands (SAV) betonen, dass digitale Mandatskommunikation den gleichen Vertraulichkeitsstandard wie analoge Akten einhalten muss. Datensicherheit und digitale Infrastruktur sind zunehmend Gegenstand anwaltsrechtlicher Überlegungen in der Schweiz.
Warum unverschlüsselte E-Mail das Anwaltsgeheimnis gefährdet
Die klassische Mailkommunikation mit PDF-Anhängen hat drei strukturelle Vertraulichkeitsprobleme:
Transport
Das SMTP-Protokoll verwendet TLS optional, nicht verpflichtend. Ob ein Zwischenserver TLS verlangt, hängt von dessen Konfiguration ab. Eine garantierte End-to-End-Vertraulichkeit existiert nicht.
Speicherung
Mails liegen auf Servern im Klartext vor. Administratoren von Mailservices haben technisch Zugriff. Bei einem Serverangriff oder einer behördlichen Herausgabeanordnung sind die Inhalte unmittelbar zugänglich.
Empfängerseite
Sobald die Mail beim Empfänger ankommt, ist sie der Kontrolle der Kanzlei vollständig entzogen. Sie kann weitergeleitet, kopiert, falsch adressiert oder auf einem unsicheren Gerät geöffnet werden.
Die CLOUD-Act-Problematik für Schweizer Kanzleien
Viele Kanzleien nutzen Cloud-Dienste wie Dropbox, Google Drive oder Microsoft OneDrive. Das löst das Transportproblem, schafft aber ein anderes: US-Anbieter können nach dem US CLOUD Act (2018) grundsätzlich verpflichtet sein, Behörden Zugang zu gespeicherten Daten zu gewähren — unabhängig vom physischen Serverstandort. Wie weit dieses Risiko im Einzelfall reicht, ist juristisch umstritten.
Für viele Kanzleien ist die Lösung pragmatisch: Mandatsakten auf Infrastruktur halten, die eindeutig Schweizer Recht untersteht. Das schliesst die Problematik strukturell aus.
Was eine konforme Mandatskommunikation auszeichnet
Ende-zu-Ende-Verschlüsselung
Dokumente werden bereits auf dem Gerät des Absenders verschlüsselt – der Server sieht nur Cipher-Text. Selbst bei behördlicher Anordnung an den Anbieter sind die Inhalte unlesbar. Das ist die einzige Architektur, die das Anwaltsgeheimnis technisch strukturell absichert.
Schweizer Hosting und Schweizer Rechtsträger
Der Anbieter muss ein Schweizer Unternehmen ohne US-Mutter sein, mit Servern in der Schweiz. Damit wird die Lösung dem CLOUD Act entzogen.
Auftragsverarbeitungsvertrag nach Schweizer Recht
Nach Art. 9 revDSG muss ein AVV vorliegen. Ein AVV nach Schweizer Recht ist bei Streitigkeiten vor Schweizer Gerichten durchsetzbar und fügt sich nahtlos in Ihre Mandatsverträge ein.
Audit-Trail pro Mandat
Eine moderne Lösung ermöglicht, jeden Transfer einem Mandat zuzuordnen. Wer wann welches Dokument empfangen hat, muss nachvollziehbar sein – für revDSG und als Beweismittel.
Empfangsportale für Mandanten
Mandanten erhalten einen Link zu einem personalisierten, verschlüsselten Portal. Kein Konto nötig, trotzdem konform. Kein E-Mail-Anhang mit den beschriebenen Risiken.
Drei typische Anwendungsfälle
Mandatsbegleitung im Einzelmandat
Vom Erstgespräch bis zum Abschluss fliessen Dokumente in beide Richtungen. Ein pro Mandat strukturierter Raum – alle Dokumente chronologisch, mit Benachrichtigung bei neuem Eingang.
M&A und Due Diligence
100+ Dokumente an 5+ Parteien gleichzeitig, mit unterschiedlichen Zugriffsrechten. Käuferseite liest nur, Berater haben Vollzugriff. Zugriff wird nach Abschluss automatisch entzogen.
Gerichts- und Behördenkorrespondenz
Schriftsätze, Beweismittel-Pakete: vollständig nachvollziehbar zugestellt. Download-Bestätigung statt nur Zustellhinweis. Audit-Trail als Zustellungsnachweis.
Häufige Einwände und Realitätscheck
“Wir verschlüsseln die PDFs mit Passwort, das reicht.”
PDF-Passwortschutz ist mit moderner Rechenleistung in Minuten zu brechen. Er ist sinnvoll als zusätzliche Schicht, ersetzt aber keine echte Verschlüsselungsarchitektur.
“Unser Mandant will keine Komplikationen, er will einfach die E-Mail.”
Moderne Lösungen sind für den Empfänger nicht komplizierter als eine Download-Mail. Ein Klick auf den Link, ggf. ein Sicherheitsfaktor, dann ist die Datei da. Wer dem Mandanten das unverschlüsselte Risiko gegen drei Sekunden mehr Aufwand vorrechnet, trifft selten auf Ablehnung.
“Wir haben eine Schweizer Mail-Adresse.”
Eine Schweizer Mailadresse ändert nichts am Transport: Sobald Mails an externe Empfänger gehen, verlassen sie das kontrollierte System. Echter E2E-Schutz greift erst bei dedizierten Transfer-Plattformen.
“Das ist alles zu teuer.”
Die Kosten liegen pro Anwalt und Monat typischerweise unter dem Preis einer halben Stunde anwaltlicher Arbeit. Ein einziger vermiedener Datenschutzvorfall mit Reputationsschaden übertrifft die Jahreskosten um ein Vielfaches.
Praxis-Checkliste für Ihre Kanzlei
- 1
Bestandsaufnahme: Über welche Kanäle verlassen heute Mandatsdokumente Ihre Kanzlei?
- 2
Anbieter-Prüfung: Wo sitzen die Anbieter? Sitzen die Server in der Schweiz? Existiert ein AVV nach Schweizer Recht?
- 3
Workflow-Analyse: Wo entstehen Reibungspunkte (verlorene Dokumente, unklare Versionen)? Diese sind oft gleichzeitig die grössten Compliance-Risiken.
- 4
Rechtliche Freigabe: Holen Sie eine Stellungnahme Ihres Datenschutzberaters ein, insbesondere wenn Sie US-Cloud-Dienste nutzen.
- 5
Pilotierung: Testen Sie eine Schweizer Lösung an einem nicht-kritischen Mandat. Nach 30 Tagen haben Sie ein belastbares Bild.
- 6
Schulung: Die beste technische Lösung greift nur, wenn das gesamte Team sie nutzt.
Fazit
Das Anwaltsgeheimnis und das revDSG haben die Anforderungen an die digitale Kanzleikommunikation spürbar erhöht. Gleichzeitig sind spezialisierte Schweizer Lösungen heute ausgereift genug, um diesen Anforderungen ohne organisatorische Belastung zu entsprechen.
Der wirtschaftliche Druck, zu handeln, ist moderat, der rechtliche ist zunehmend. Sobald eine Aufsichtskommission in einem konkreten Fall feststellt, dass die technische Kanzleiinfrastruktur dem Anwaltsgeheimnis nicht genügt hat, verändert sich die Rechtspraxis schnell. Wer jetzt wechselt, schützt Mandanten, Kanzlei und sich selbst.
Hinweis: Dieser Artikel ist ein allgemeiner Überblick und ersetzt keine rechtliche Beratung im Einzelfall.
Sichere Mandatskommunikation für Ihre Kanzlei?
VaultDrop: Ende-zu-Ende-verschlüsselt, Schweizer Hosting, AVV nach Schweizer Recht. Kostenlos testen – ohne Kreditkarte.