Kanzlei: Mandantendaten bereinigen ohne Verschwiegenheitsbruch

Eine mittelständische Kanzlei mit drei Berufsträgern und zehn Jahren Bestand hat in ihrer Aktenverwaltung schnell 4.000 bis 8.000 Mandantenstammsätze. Bei jeder Mandatsannahme entsteht ein neuer Eintrag, bei jeder Gegnervertretung ebenfalls, und bei Anfragen, die nicht in ein Mandat münden, wird der Datensatz selten wieder gelöscht. Über die Jahre sammelt sich ein Bestand an, der voller Dubletten ist: "Müller, Hans" als Privatmandant von 2018, "Müller GmbH, Hans" als Geschäftsführer der Firma 2021, "Hans Müller" als Gegner in einem Verkehrsunfallverfahren 2023.

Dieser Zustand ist keine Komfortfrage. Mandantendaten unterliegen der anwaltlichen Verschwiegenheitspflicht nach §43a BRAO und werden zusätzlich vom §203 StGB strafrechtlich geschützt. Eine unsaubere Datenhaltung ist nicht nur ein DSGVO-Problem, sondern berührt das Berufsrecht und das Strafrecht in einer Schärfe, die wenige andere Branchen kennen.

Mandantendaten bereinigen ohne Cloud-Risiko? ListenFix erkennt Dubletten mit Fuzzy Matching, komplett offline auf dem Kanzleirechner. Kein Upload, §43a BRAO-konform. Jetzt kostenlos testen

Warum Mandantendaten besonders geschützt sind

Die Verschwiegenheitspflicht nach §43a Abs. 2 BRAO erfasst alles, was dem Anwalt in Ausübung seines Berufs anvertraut oder bekannt geworden ist. Das beschränkt sich nicht auf den Inhalt der Beratung. Bereits die Tatsache, dass eine bestimmte Person Mandantin der Kanzlei ist, fällt unter den Schutzbereich. Wer eine Liste von Mandantennamen an einen unberechtigten Dritten gibt, verletzt die Verschwiegenheit auch dann, wenn kein einziges inhaltliches Detail mit übertragen wird.

§203 Abs. 1 Nr. 3 StGB stellt die Offenbarung eines fremden Geheimnisses durch Rechtsanwälte, Patentanwälte und Notare unter Strafe. Das Strafmaß reicht bis zu einem Jahr Freiheitsstrafe oder Geldstrafe. Wird das Geheimnis gegen Entgelt offenbart, sind es bis zu zwei Jahre. Hinzu kommen berufsrechtliche Sanktionen der Rechtsanwaltskammer bis hin zur Ausschließung aus der Anwaltschaft.

Was das für die Datenbereinigung bedeutet

Jede Software, die Mandantendaten verarbeitet, muss den gleichen Schutz bieten wie der Kanzleiserver selbst:

Anforderung	DSGVO	§43a BRAO + §203 StGB
Rechtsgrundlage	Art. 6 Abs. 1 lit. b und f DSGVO	Berufsrecht, kein zivilrechtlicher Verzicht möglich
Datenübertragung an Dritte	AVV nach Art. 28 erforderlich	§203 Abs. 3 StGB: nur an mitwirkende Personen unter Belehrung
Cloud-Verarbeitung	Technische Schutzmaßnahmen nötig	Sehr problematisch, BRAK fordert besondere Sorgfalt
Sanktionen bei Verstoß	Bis 20 Mio. EUR oder 4 Prozent Jahresumsatz	Bis 1 Jahr Freiheitsstrafe, Kammerverfahren

§203 Abs. 4 StGB hat 2017 zwar eine Öffnung für externe IT-Dienstleister gebracht, verlangt aber strenge Voraussetzungen: schriftliche Verpflichtung zur Geheimhaltung, Begrenzung auf das Erforderliche, sorgfältige Auswahl. Eine Cloud-Lösung, die in den USA gehostet wird oder Subunternehmer in Drittländer einbindet, erfüllt diese Voraussetzungen in der Praxis kaum.

Typische Datenprobleme in der Anwaltskanzlei

Mandantenstammdaten fließen aus verschiedenen Quellen in die Kanzleisoftware: Erstkontaktformular auf der Website, Telefonnotiz der Sekretärin, Akten aus Übernahme von Kollegen, Gegnerlisten aus Schriftsätzen, beA-Nachrichten. Jede Quelle erzeugt andere Fehlertypen.

Beispiel: So sehen Dubletten in der Mandantenverwaltung aus

Mandant 1: Schneider, Friedrich   | Hauptstr. 12    | 70173 Stuttgart   | Privatmandant Erbrecht 2019
Mandant 2: Schneider, Fr.         | Hauptstraße 12  | 70173 Stuttgart   | Familienrecht 2022
Mandant 3: Friedrich Schneider    | Hauptstr. 12    | 70173 Stgt.       | Gegner Mietsache 2024
Mandant 4: Schneider GmbH         | Hauptstr. 12    | 70173 Stuttgart   | GF Friedrich Schneider

Mandant 1, 2 und 3 sind dieselbe natürliche Person, Mandant 4 ist die von ihm geführte Gesellschaft. Mandant 3 darf aus berufsrechtlichen Gründen nicht in derselben Vertretungskette wie Mandant 1 stehen: Wenn die Kanzlei Schneider 2019 vertreten hat, ist die Vertretung gegen ihn 2024 ein potentielles Tätigkeitsverbot nach §43a Abs. 4 BRAO.

Genau hier liegt der Mehrwert einer sauberen Dublettenerkennung über den reinen Datenschutz hinaus: Sie deckt Interessenkonflikte auf, die bei der manuellen Aktenanlage übersehen worden sind.

Die häufigsten Fehlerquellen

1. Tippfehler bei der Aktenanlage – Unter Zeitdruck: "Maier" statt "Meier", "Bahnhofstr." statt "Bahnhofstraße"
2. Namensänderungen – Heirat, Scheidung, Geschäftsführerwechsel: alter Datensatz bleibt unverändert bestehen
3. Unterschiedliche Rollen derselben Person – Mandant in Sache A, Zeuge in Sache B, Gegner in Sache C
4. Gesellschaft und Geschäftsführer – natürliche Person und juristische Person an derselben Adresse, in der Praxis schwer auseinanderzuhalten
5. Übernahme von Kollegenakten – beim Kanzleiwechsel oder bei Übernahme eines Bestands werden Datensätze importiert, die schon im eigenen Bestand existieren

Was doppelte Mandantendaten in der Kanzlei kosten

Die Konsequenzen reichen über den administrativen Aufwand weit hinaus.

Direkte Kosten

Eine mittelständische Kanzlei verschickt pro Jahr leicht 600 bis 1.200 postalische Schreiben an Mandanten, Gerichte und Gegner. Bei einer Dublettenquote von 6 bis 8 Prozent in den Adressdaten landen 40 bis 100 Schreiben pro Jahr an veraltete Adressen oder werden doppelt verschickt.

Rechenbeispiel für eine Kanzlei mit drei Berufsträgern und 6.000 Mandantenstammsätzen:

• Dublettenquote 7 Prozent = 70 fehlerhafte Schreiben pro Jahr
• Kosten pro Schreiben (Druck, Porto, Personal): 2,40 EUR
• Verschwendete Kosten pro Jahr: 168 EUR

Das klingt überschaubar. Der direkte Posten ist nicht das Problem.

Indirekte Kosten und Haftungsrisiken

• Übersehene Interessenkonflikte: Wer die alte Mandatsbeziehung nicht findet, übernimmt versehentlich ein Mandat gegen den eigenen Altmandanten. §43a Abs. 4 BRAO sieht hier ein Tätigkeitsverbot vor. Verstöße führen zur Pflicht, das Mandat niederzulegen, oft mit Gebührenverlust und Haftungsfragen
• Mehrfacher Aufwand bei DSGVO-Auskunftsanfragen: Ein Mandant verlangt Auskunft nach Art. 15 DSGVO. Wenn vier Datensätze existieren, müssen alle gefunden, geprüft und zusammengeführt werden. Zeitaufwand: 60 bis 120 Minuten pro Fall statt 10 Minuten
• Fristversäumnisse: Wenn Gerichtspost an einen Mandanten mit veralteter Adresse geht und nicht ankommt, kann eine Berufungs- oder Beschwerdefrist verstreichen. Hier wird aus 168 EUR Portoverschwendung schnell ein sechsstelliger Haftungsschaden
• Erschwerte Aktenführung: Mandate desselben Mandanten verteilen sich auf drei Stammsätze. Die Übersicht über bestehende Mandate ist nicht mehr verlässlich

Warum Cloud-Bereinigung für Kanzleien problematisch ist

Viele Bereinigungstools arbeiten in der Cloud: Mandantenliste hochladen, verarbeiten lassen, Ergebnis herunterladen. Für ein Versandhandelsunternehmen mit Kundenadressen ist das ein vertretbarer Weg. Für eine Anwaltskanzlei ist es eine Konstellation, die §203 StGB und das Berufsrecht in den Mittelpunkt rückt.

Die Bundesrechtsanwaltskammer (BRAK) hat in ihren Stellungnahmen zur Cloud-Nutzung mehrfach betont, dass die Auslagerung von Mandantendaten auf externe Server nur unter sehr engen Voraussetzungen zulässig ist. Servern in der EU mit zertifizierten Betreibern (BSI C5, ISO 27001) und sauberer schriftlicher Verpflichtung nach §203 Abs. 4 StGB können ein gangbarer Weg sein. Eine beliebige SaaS-Lösung ohne nachgewiesene Eignung für den Rechtsanwaltssektor ist es nicht.

Die einfachere Alternative: Software, die ausschließlich auf dem Kanzleirechner läuft, ohne Daten nach außen zu senden. Mehr zur rechtlichen Bewertung finden Sie im Hintergrund-Artikel zu §203 StGB und Adressdaten und im Leitfaden zur DSGVO-konformen Adressbereinigung.

Mandantendaten bereinigen – so geht es offline

Ein praxistauglicher Bereinigungsprozess für Mandantenstammdaten gliedert sich in fünf Schritte.

Schritt 1: Export aus der Kanzleisoftware

Die gängigen Kanzleiverwaltungssysteme wie RA-MICRO, Advoware, AnNoText oder LawFirm erlauben den Export der Adressdaten als CSV oder Excel. Exportieren Sie nur die Felder, die für die Dublettenerkennung gebraucht werden:

• Nachname, Vorname, Firma
• Straße, PLZ, Ort, Land
• Geburtsdatum oder Handelsregisternummer (als zusätzliches Unterscheidungsmerkmal)
• Aktenzeichen oder interne Adressnummer (als Referenz für den Rückimport)

Verzichten Sie auf den Export von Sachverhalts- und Schriftsatzdaten. Für die Stammdatenbereinigung sind sie nicht nötig und erhöhen unnötig das Risiko.

Schritt 2: Fuzzy Matching statt exaktem Vergleich

Excel kann nur exakte Übereinstimmungen finden. "Schneider, Friedrich" und "Friedrich Schneider" sind für Excel zwei verschiedene Datensätze. Sie brauchen Fuzzy Matching, also Algorithmen, die Ähnlichkeiten und Schreibvarianten erkennen:

• Levenshtein-Distanz: Misst die Anzahl der nötigen Zeichenänderungen, um aus einer Schreibweise die andere zu machen
• Phonetische Analyse: "Maier", "Meyer", "Mayr" klingen ähnlich und werden zusammengeführt
• Token-basierter Vergleich: "Dr. Friedrich Schneider" und "Schneider, Friedrich Dr." werden als identisch erkannt, obwohl die Reihenfolge anders ist

Diese Verfahren erkennen auch Doppelnamen und Titel zuverlässig, ohne sie als unterschiedliche Personen zu markieren.

Schritt 3: Trennung von natürlichen und juristischen Personen

Eine Besonderheit der Mandantenverwaltung ist das Nebeneinander von natürlichen Personen und Gesellschaften an derselben Adresse. Der Geschäftsführer Friedrich Schneider und die Schneider GmbH dürfen nicht zu einem Datensatz zusammengeführt werden, auch wenn beide am gleichen Standort sitzen. Eine gute Bereinigungssoftware erkennt diese Konstellation und gruppiert die Datensätze, ohne sie zu vermischen.

Schritt 4: Interessenkonflikt-Markierung

Während der Dublettenerkennung lässt sich gleich ein zweiter Mehrwert generieren. Wenn ein Datensatz unter "Mandant" und ein anderer unter "Gegner" geführt wird und beide auf dieselbe Person hindeuten, ist das ein potentieller Interessenkonflikt nach §43a Abs. 4 BRAO. Eine entsprechende Markierung im Ergebnisbericht ermöglicht es dem Berufsträger, vor der Mandatsannahme noch einmal manuell zu prüfen.

Schritt 5: Ergebnisse in die Kanzleisoftware zurückspielen

Nach der Bereinigung importieren Sie die korrigierten Stammdaten zurück in Ihr System. Die meisten Kanzleisysteme unterstützen den CSV-Import mit Zuordnung über die Adressnummer. Wichtig ist die Protokollierung: Welche Datensätze wurden zusammengeführt, welche gelöscht, durch wen und wann. DSGVO Art. 5 Abs. 2 verlangt diese Nachweisbarkeit.

ListenFix: Offline-Bereinigung für Anwaltskanzleien

ListenFix wurde für genau solche Anforderungen entwickelt. Die gesamte Datenverarbeitung läuft lokal auf dem Kanzleirechner. Es gibt keine Cloud, keinen Upload, keine Datenübertragung an Dritte.

Konkret bedeutet das für die Kanzlei:

• §203 StGB-konform: Mandantendaten verlassen nie den Kanzleirechner. Kein Offenbarungstatbestand.
• Kein AVV nötig: Da keine Auftragsverarbeitung stattfindet, entfällt der gesamte Vertrags-Overhead und die Pflicht zur schriftlichen Verpflichtung nach §203 Abs. 4 StGB.
• 5 Fuzzy-Matching-Algorithmen: Tippfehler, Abkürzungen, Namensänderungen und phonetische Ähnlichkeiten werden erkannt.
• Saubere Trennung von Person und Gesellschaft: Geschäftsführer und GmbH an derselben Adresse werden nicht zusammengeführt.
• PLZ-Validierung für 29 Länder: Auch internationale Mandate werden korrekt geprüft.

Der Starter-Plan (69 EUR einmalig) reicht für die meisten Einzelkanzleien. Sozietäten mit regelmäßigem Bereinigungsbedarf profitieren vom Professional-Plan (99 EUR pro Monat) mit automatisierten Bereinigungsläufen, die quartalsweise gegen die wachsende Mandantendatenbank gefahren werden können.

Checkliste vor dem nächsten Bereinigungslauf

Bevor Sie starten, prüfen Sie diese fünf Punkte:

1. Läuft die Software offline? Keine Cloud-Uploads, keine externen Server. Pflicht bei Mandantendaten.
2. Sind nur Stammdaten im Export? Keine Sachverhalts- oder Schriftsatzdaten in der Export-Datei.
3. Ist Fuzzy Matching aktiviert? Exakter Abgleich übersieht die meisten Dubletten.
4. Werden Ergebnisse manuell bestätigt? Automatisch gefundene Zusammenführungen vor dem Commit prüfen, gerade wegen der Interessenkonflikt-Frage.
5. Wird die Bereinigung protokolliert? Wer hat wann welche Datensätze zusammengeführt? DSGVO Art. 5 Abs. 2 verlangt es, das Berufsrecht legt es nahe.

Mandantendatenbereinigung ist kein einmaliges Projekt. Sinnvoll ist ein Quartalsrhythmus, mindestens aber ein Lauf pro Jahr vor dem Versand der Honorarübersichten oder der Jahresinformation an Dauermandanten. So bleiben die Daten verlässlich und die Kanzlei auf der sicheren Seite von §43a BRAO, §203 StGB und DSGVO.