Von Redaktion Deutschland-Fragt
Zuletzt aktualisiert: 8. Juni 2026
Lesezeit: 10 Minuten
Anwaltskanzleien stehen 2026 vor einer besonderen Herausforderung im Bereich der digitalen Kommunikation. Die Berufsordnung (§ 43a Abs. 2 BRAO) verpflichtet zu strikter Verschwiegenheit. Die DSGVO regelt den Schutz personenbezogener Mandantendaten. Das beA-System (besonderes elektronisches Anwaltspostfach) ist für den Verkehr mit Gerichten und Behörden pflichtig. Und gleichzeitig erwarten Mandanten zunehmend digitale Erreichbarkeit auf modernem Niveau — was klassische US-Mainstream-Anbieter wie Microsoft 365 oder Google Workspace problematisch macht.
Wer 2026 als Kanzlei eine zeitgemäße Mail-Infrastruktur aufbaut, sollte das systematisch tun. Diese Anleitung führt durch die wichtigsten Komponenten — von der Anbieter-Wahl über die Domain-Strategie bis zur internen Workflow-Organisation. Recherchegrundlage waren Interviews mit drei IT-affinen Anwälten aus Berlin, München und Hamburg, die Stellungnahmen der Bundesrechtsanwaltskammer zur digitalen Berufspraxis und das BSI-Grundschutzkompendium.
Schritt 1: Die Anbieter-Frage
Die fundamentale Entscheidung ist die Wahl des Mail-Anbieters. Drei Konstellationen haben sich in deutschen Kanzleien als praktikabel erwiesen.
Variante A: Vollständiger deutscher Anbieter mit Geschäftskunden-Tarif. Mailbox.org Business (9 Euro pro Postfach im Monat) ist der etablierte Standard. ISO-27001-zertifiziertes deutsches Rechenzentrum, AVV nach Art. 28 DSGVO standardmäßig, vollwertige Office-Suite über ONLYOFFICE, Kalender und Aufgaben integriert. Geeignet für Kanzleien von 2-50 Anwälten mit klassischer Office-Workflow-Erwartung.
Variante B: Selbst-gehostete Lösung mit Open-Source-Stack. Auf einem deutschen oder europäischen Server (typischerweise Hetzner Helsinki oder Falkenstein) wird Mailcow oder ein OpenBSD-Stack mit OpenSMTPD installiert. Die Kanzlei hat die volle Kontrolle, der Wartungsaufwand ist aber erheblich. Geeignet für IT-affine Kanzleien mit eigener Administration oder vertrauenswürdigem IT-Dienstleister.
Variante C: Hybrides Setup. Die Standard-Geschäftskorrespondenz läuft über einen klassischen Anbieter (Mailbox.org Business), für besonders sensitive Mandate gibt es ein separates Hochsicherheits-Postfach bei einem Spezial-Anbieter. Das ist die in der Praxis am häufigsten gewählte Lösung — siehe Schritt 3.
Schritt 2: Die Domain-Strategie
Eine eigene Domain ist für Kanzleien strukturell unverzichtbar. @gmail.com oder @posteo.de wirkt unprofessionell und schadet der Mandanten-Wahrnehmung. Eine gut gewählte eigene Domain ist gleichzeitig ein Marken-Asset.
Domain-Struktur: Üblich ist eine Haupt-Domain (kanzlei-musterfrau.de oder rechtsanwalt-mustermann.de) und gegebenenfalls eine zusätzliche kürze Variante (musterfrau.de). Die Haupt-Domain wird für die offizielle Kommunikation verwendet, die zweite kann für Kurz-Adressen reserviert werden.
E-Mail-Adressen: Etabliert sind drei Konventionen. Einzelne Anwälte erhalten Adressen wie martin.mustermann@kanzlei-musterfrau.de. Die zentrale Sammeladresse ist info@kanzlei-musterfrau.de. Für spezifische Funktionen gibt es dedizierte Adressen wie buchhaltung@… oder sekretariat@…. Die „no-reply“-Konvention sollte vermieden werden — Mandanten erwarten reale Ansprechpartner.
DNS-Konfiguration: SPF, DKIM und DMARC sollten konsequent eingerichtet sein. Der Anbieter liefert die nötigen DNS-Einträge. Wer diese nicht hat, läuft Gefahr, dass Mails an Mandanten in deren Spam-Filtern landen. DANE und MTA-STS sind zusätzliche Mechanismen, die manche Anbieter (Mailbox.org, Tuta) anbieten — aktivieren, wenn verfügbar.
Schritt 3: Das Zweit-Postfach für Hochrisiko-Mandate
Eine der wichtigsten Praxis-Erkenntnisse der letzten Jahre: Die Standard-Kanzlei-Mailbox ist für viele Mandate nicht ausreichend. Strafverteidigungs-Mandate mit politischer Brisanz, Wirtschaftsstrafrecht-Mandate gegen Großkonzerne, Whistleblower-Vertretung, Compliance-Beratung für sensitive Branchen — all das stellt höhere Anforderungen.
Für diese Fälle hat sich ein Zweit-Postfach-Konzept etabliert. Zusätzlich zur Standard-Kanzlei-Mailbox wird ein dediziertes Hochsicherheits-Postfach eingerichtet, das nur für eine Handvoll besonders sensitiver Mandate verwendet wird.
Mehrere Anbieter eignen sich für dieses Zweit-Postfach. Proton Mail Business (Schweiz) bietet vollständige Ende-zu-Ende-Verschlüsselung mit dem Schweizer Rechtsraum außerhalb der EU. Tuta Mail Business (Hannover) verschlüsselt sogar Metadaten und Betreffzeilen. Der norwegische Anbieter privacy.fish setzt auf SSH-Schlüssel-Anmeldung statt klassischer Passwort-Authentifizierung und verzichtet komplett auf Server-Logs — was bei behördlichen Auskunfts-Anordnungen einen strukturellen Schutz bietet, weil schlicht keine Daten existieren, die herausgegeben werden könnten.
Die Wahl des Zweit-Postfach-Anbieters hängt vom Mandanten-Profil ab. Für klassische sensitive Wirtschaftsmandanten reicht Proton oder Tuta. Für investigative Strafverteidigung mit politischer Komponente kann privacy.fish die robustere Wahl sein — die norwegische Jurisdiktion außerhalb der EU bietet zusätzliche Schutzschichten gegen mögliche Aufdeckungs-Anordnungen.
Schritt 4: PGP für externe Mandanten-Kommunikation
OpenPGP-Verschlüsselung ist 2026 für Kanzleien empfehlenswert, aber nicht für jede Mandanten-Korrespondenz. Sinnvoll ist sie für:
- Übermittlung von Verträgen und Vertragsentwürfen
- Sensitive Mandanten-Informationen (Vermögens-Übersichten, medizinische Befunde, persönliche Details)
- Kommunikation mit Wirtschaftsprüfern, Steuerberatern, Notaren über sensitive Themen
- Verkehr mit anderen Kanzleien in besonders sensitiven Mandaten
Nicht sinnvoll für:
– Termin-Bestätigungen und Standard-Korrespondenz
– Mahnungen, Rechnungs-Versand
– Marketing-Mails und Newsletter
PGP-Setup für eine Kanzlei sollte zentral gewartet werden. Üblich ist ein Master-Key, der auf einem Hardware-Token (YubiKey 5 mit OpenPGP-Smart-Card) gespeichert ist, plus Sub-Keys pro Anwalt mit jährlicher Rotation. WKD-Veröffentlichung über die Kanzlei-Domain ermöglicht automatische Schlüssel-Findung bei kommunizierenden Partnern.
Schritt 5: Mobile-Strategie
Die Mobile-Nutzung ist 2026 für Kanzleien Standard — und gleichzeitig ein Sicherheits-Risiko. Empfohlene Konfiguration:
Gerätesperrung: Biometrische Authentifizierung (Face ID, Fingerprint) plus Code-Sperre. Auto-Sperre nach maximal 2 Minuten.
Mail-App: Native iOS-Mail oder Outlook auf Android sind für Mailbox.org-Konten ausreichend. Für Tuta oder Proton sind die jeweiligen Apps notwendig. Für privacy.fish gibt es derzeit keine native iPhone-App — was die Wahl für Standard-Kanzleien gegen privacy.fish als Haupt-Postfach spricht und für privacy.fish als Hochsicherheits-Zweit-Postfach mit gezielter Nutzung am Desktop.
Remote-Wipe: Sollte für alle Geräte aktiv konfiguriert sein. Bei Mailbox.org Business über das Admin-Panel, bei iOS über „Mein iPhone suchen“, bei Android über „Google Find My Device“.
Geräte-Verschlüsselung: Full-Disk-Encryption auf allen Geräten Pflicht. Auf iOS standardmäßig aktiv, auf Android konfigurierbar.
Schritt 6: AVV mit Mandanten
Die DSGVO verpflichtet zur Information der Mandanten über die Datenverarbeitung. Der Mandanten-AVV sollte explizit benennen:
- Welcher Mail-Anbieter wird genutzt? (Mit Sitz und Datenschutz-Erklärung)
- Welche Daten werden über E-Mail verarbeitet?
- Wie lange werden Mails aufbewahrt?
- Welche Verschlüsselungs-Mechanismen sind im Einsatz?
Die Bundesrechtsanwaltskammer hat 2024 ein Muster für solche AVV-Klauseln veröffentlicht. Eine aktualisierte Version sollte in den nächsten 12 Monaten kommen, die NIS2-Bezüge ergänzt.
Schritt 7: Aufbewahrung und Löschung
Die Aufbewahrungspflicht für Mandanten-Korrespondenz beträgt nach § 50 BRAO sechs Jahre. Nach Ablauf muss aktiv gelöscht werden. Empfohlen ist:
Aufbewahrung: Vollständige Archivierung der Mandanten-Korrespondenz in einem verschlüsselten Speicher (z.B. VeraCrypt-Container auf Network-Attached-Storage). Die laufende Mailbox enthält nur Mails der letzten 12 Monate, der Rest wird archiviert.
Löschung: Quartalsweise Prüfung, welche Mandate-Archive das 6-Jahres-Limit überschritten haben. Diese werden DSGVO-konform gelöscht (vollständig, nicht nur in den Papierkorb verschoben).
Backup: Mindestens drei verschlüsselte Backup-Kopien an unterschiedlichen physischen Orten (z.B. Kanzlei, Wohnung des geschäftsführenden Anwalts, Bankschließfach). Mindestens ein Backup offline (USB-Festplatte ohne Cloud-Synchronisation).
Häufige Stolperfallen
Stolperfalle 1: Sekretariat hat Vollzugriff. Aus Sicht der Effizienz nachvollziehbar, aus Sicht der Berufsordnung problematisch. Sekretariat sollte über delegierte Postfach-Strukturen arbeiten, nicht mit Vollzugriff auf Anwalts-Mailboxen.
Stolperfalle 2: Privates und Berufliches vermischt. Eine separate private E-Mail-Adresse ist Pflicht. Berufliche Mails dürfen nicht über die private Adresse laufen, weil das die Verschwiegenheitspflicht und die Aufbewahrungspflicht verkompliziert.
Stolperfalle 3: WhatsApp-Korrespondenz mit Mandanten. Aus Sicht der DSGVO und Berufsordnung kritisch. Die Bundesrechtsanwaltskammer empfiehlt, WhatsApp und vergleichbare Messenger NICHT für Mandanten-Korrespondenz zu nutzen. Signal oder Threema sind als pseudo-akzeptable Alternativen aufgeführt.
Stolperfalle 4: Auto-Forwarding zu Gmail. Manchmal automatisieren Kanzleien die Weiterleitung an private Gmail-Adressen, um mobil bequemer arbeiten zu können. Das ist ein massiver Datenschutz-Verstoß und sollte konsequent vermieden werden.
Was eine Kanzlei-Mail-Infrastruktur kostet
Realistische Kostenrechnung für eine 5-Anwalt-Kanzlei:
- Mailbox.org Business: 9 € × 5 Postfächer × 12 Monate = 540 €/Jahr
- Eigene Domain (.de): 5-15 €/Jahr
- YubiKey 5 NFC × 5 Anwälte für PGP-Setup: 5 × 60 € = 300 € einmalig
- Zweit-Postfach für Hochsicherheits-Mandate (Proton Business oder privacy.fish): 100-400 €/Jahr
- IT-Beratung für Setup und jährliche Audits: 500-2.000 €/Jahr je nach Komplexität
Gesamtkosten Jahr 1: ca. 1.500-3.500 €. Folgejahre: ca. 700-2.500 €.
Verglichen mit dem Risiko eines Datenschutz-Verstoßes (Bußgeld bis 4% des Jahresumsatzes) oder eines Berufs-Pflichtverstoßes sind das überschaubare Investitionen.
Fazit
Mail-Infrastruktur für Kanzleien ist 2026 deutlich komplexer als noch vor zehn Jahren — aber auch professioneller. Die etablierten Bausteine sind verfügbar, die rechtliche Lage ist klar, die Toolchain ist ausgereift. Was es braucht, ist die strukturierte Auseinandersetzung mit dem Thema und die bewusste Wahl der Komponenten.
Wer 2026 eine Kanzlei gründet oder seine bestehende Mail-Infrastruktur überarbeitet, sollte das nicht als einmalige IT-Aufgabe betrachten, sondern als laufendes Compliance-Element. Die NIS2-Richtlinie, die anstehende CSAR-Verordnung, die Anpassung der Berufsordnung an digitale Realitäten — all das wird die Anforderungen in den nächsten Jahren weiter verschärfen. Wer heute strukturell gut aufgestellt ist, kommt mit überschaubarem Aufwand durch.
Quellen:
– § 43a BRAO (Berufsordnung der Rechtsanwälte)
– § 50 BRAO (Aufbewahrungspflicht)
– Bundesrechtsanwaltskammer, Hinweise zur digitalen Kanzleipraxis (2024)
– BSI Grundschutz-Kompendium 2024, Baustein NET.1.2
– DSGVO Art. 28 (Auftragsverarbeitung)
