Warum der falsche Passwortmanager eine Berufsrechtsverletzung sein kann – und welche Lösungen wirklich sicher sind
Passwörter sind die Schlüssel zur digitalen Infrastruktur jeder Kanzlei: Sie schützen den Zugang zu Mandantenakten, Kommunikation, beA und Cloud-Diensten. Dennoch werden sie in der Kanzleipraxis oft sorglos behandelt – in Notizbüchern, Excel-Tabellen oder kommerziellen Cloud-Diensten gespeichert, die ihren Sitz in den USA haben und nicht Passwörter DSGVO-konform gespeichert.
Das ist kein bloßes IT-Problem. Es ist ein berufsrechtliches und datenschutzrechtliches Risiko. Dieser Artikel erklärt, welche Anforderungen gelten, welche Gefahren drohen – und welche Passwortmanager Anwältinnen und Anwälte bedenkenlos einsetzen können.
1. Rechtlicher Rahmen: Was Anwälte beachten müssen
Gesetzliche Grundlagen im Überblick
- Art. 32 DSGVO – Pflicht zu geeigneten technischen und organisatorischen Maßnahmen (TOM) zum Schutz personenbezogener Daten
- § 43a Abs. 2 BRAO – Verschwiegenheitspflicht des Rechtsanwalts
- § 203 StGB – Strafbarkeit der unbefugten Offenbarung von Berufsgeheimnissen
- § 2 BORA – Konkretisierung der Verschwiegenheitspflicht in der Berufsordnung
- § 64 BDSG – Datensicherheitsanforderungen bei der Verarbeitung personenbezogener Daten
Die DSGVO verlangt in Art. 32, dass Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehört ausdrücklich die Verschlüsselung personenbezogener Daten. Passwörter sind selbst zwar keine personenbezogenen Daten – sie verschaffen aber Zugang zu solchen Daten. Ein mangelhaftes Passwortmanagement ist daher eine unzureichende TOM im Sinne des Art. 32 DSGVO.
Wer Mandantendaten über einen US-amerikanischen Cloud-Dienst zugänglich macht oder dort speichert, riskiert eine Verletzung der anwaltlichen Verschwiegenheitspflicht (§ 43a BRAO, § 203 StGB). US-Behörden können auf Grundlage des CLOUD Act (Clarifying Lawful Overseas Use of Data Act) US-Unternehmen verpflichten, Nutzerdaten herauszugeben – unabhängig davon, ob die Server in den USA oder in der EU stehen. Eine richterliche Anordnung ist dabei für manche Datenzugriffe nach dem Foreign Intelligence Surveillance Act (FISA), Section 702 nicht einmal erforderlich.
2. Das CLOUD-Act-Problem – einfach erklärt
Was ist der CLOUD Act? Ein US-Bundesgesetz aus dem Jahr 2018, das US-amerikanische Unternehmen – also auch Google, Microsoft, Apple, Dropbox und Anbieter wie LastPass oder 1Password – dazu verpflichtet, US-Strafverfolgungsbehörden auf richterliche Anordnung Zugriff auf gespeicherte Daten zu gewähren. Das gilt auch dann, wenn die Daten auf Servern in der EU liegen.
HOHES RISIKO
US-Anbieter mit Cloud-Speicherung
(LastPass, 1Password, Dashlane, Bitwarden Cloud)
MITTLERES RISIKO
EU-Anbieter mit Cloud-Speicherung
(Proton Pass, Psono Cloud)
GERINGES RISIKO
Lokale Speicherung oder EU-Self-Hosting
(KeePassXC, Passbolt, Psono self-hosted)
💡 Was bedeutet „Zero-Knowledge-Verschlüsselung“?
Seriöse Passwortmanager speichern Passwörter nicht im Klartext. Sie verschlüsseln die Passwortdatenbank auf Ihrem Gerät, bevor sie irgendwo abgelegt wird – mit einem Schlüssel, den nur Sie kennen (dem Masterpasswort). Der Anbieter selbst kann Ihre Passwörter also nicht lesen, selbst wenn er wollte. Man nennt das „Zero Knowledge“: Der Anbieter hat keinerlei Kenntnis von Ihren Daten. Dies schränkt das CLOUD-Act-Risiko ein, schließt es aber nicht aus: Der verschlüsselte Datensatz kann immer noch herausgegeben werden.
3. Passwortmanager im Vergleich – worauf Kanzleien achten müssen
Für den Kanzleieinsatz empfehlen sich ausschließlich Open-Source-Lösungen europäischer oder schweizerischer Herkunft, die entweder lokal oder auf einem selbst betriebenen Server gespeichert werden. Der Vorteil von Open Source: Der Quellcode ist öffentlich einsehbar – unabhängige Sicherheitsforscher können prüfen, ob die Verschlüsselung wirklich so funktioniert, wie behauptet.
| Kriterium | KeePassXC / KeePassDX | Passbolt | Proton Pass | Psono | Password Safe |
|---|---|---|---|---|---|
| Herkunft & Rechtliches | |||||
| Unternehmensstandort | Community-Projekt (international) | Luxemburg (EU) | Schweiz | Deutschland (esaga GmbH) | Rony Shapiro & Team |
| CLOUD Act Risiko | ✔ Keines (kein US-Bezug) | ✔ Keines | ✔ Keines | ✔ Keines | ✔ Keines |
| Open Source | ✔ Ja | ✔ Ja (AGPL 3.0) | ✔ Ja | ✔ Ja | ✔ Ja |
| Datenspeicherung | |||||
| Wo werden Daten gespeichert? | Lokal (kein Server nötig) | Eigener Server oder Passbolt-Cloud (nur Business) | Proton-Cloud (Schweiz) | Eigener Server oder Psono-Cloud | Lokal (oder Cloudspeicher nach Wahl) |
| Selbst-Hosting möglich | ✔ Nicht nötig | ✔ Ja | ✗ Nein | ✔ Ja | ~ Lokal |
| Rein lokal nutzbar | ✔ Ja | ✗ Nein | ✗ Nein | ✗ Nein | ✔ Ja |
| Kanzlei-Eignung | |||||
| Mehrere Nutzer / Team | ✗ Nur über geteilte Datei | ✔ Kernfunktion | ~ Eingeschränkt | ✔ Ja | ✗ Eingeschränkt |
| Browserintegration | ✔ Chrome, Edge, Firefox | ✔ Chrome, Brave, Edge, Firefox | ✔ Alle gängigen | ✔ Chrome, Edge, Firefox | ✗ Keine |
| Zwei-Faktor-Authentifizierung | Schlüsseldatei, YubiKey | TOTP, YubiKey, Cisco Duo | TOTP, U2F-Schlüssel | TOTP, YubiKey, Passkey | YubiKey, OnlyKey |
| Passkeys (zukunftssicher) | ✔ Ja | ✗ (geplant 2026) | ✔ Ja | ✔ Ja | ✗ Nein |
| Kosten | Kostenlos | Kostenlos (Community, selbst gehostet); ab 54 €/Nutzer/Jahr (Business) | Kostenlos; 36 €/Jahr (Plus) | Kostenlos (Community); 36 €/Nutzer/Jahr (Enterprise SaaS) | Kostenlos |
| DSGVO-Gesamtbewertung | |||||
| Empfehlung für Kanzleien | ✔✔ Sehr gut geeignet | ✔✔ Sehr gut geeignet (Team) | ~ Bedingt geeignet | ✔ Gut geeignet | ~ Für Einzelnutzer ohne Browser-Nutzung |
Quelle: eigene Auswertung auf Basis von c’t 7/2026, Heft-Artikel „Sicher, hier!“ und „Meine Passwörter, mein Heimserver“
4. Unsere Empfehlungen für Kanzleien im Detail
🔑 KeePassXC Lokal
Ideal für: Einzelanwälte, kleine Kanzleien ohne Teambedarf
Speichert alle Passwörter ausschließlich lokal in einer verschlüsselten Datei. Kein Server, kein Cloud-Anbieter. Kostenlos, Open Source, Community-gepflegt. Synchronisierung bei Bedarf über eigenen Cloudspeicher (Nextcloud etc.) möglich.
Vorsicht: Geteilter Zugriff für mehrere Nutzer ist umständlich. Für Teams nicht ideal.
🏢 Passbolt EU (Luxemburg) Self-Hosting
Ideal für: Teams ab 2 Personen, mittlere und größere Kanzleien
Speziell für Teamnutzung entwickelt. Passwörter können sicher mit Kollegen geteilt werden. Verwendet OpenPGP-Verschlüsselung (Ende-zu-Ende). Community-Edition ist kostenlos und kann auf eigenem Server in der EU betrieben werden.
Hinweis: Erfordert technisches Know-how für die Installation (oder IT-Dienstleister).
🇨🇭 Proton Pass Cloud (Schweiz)
Ideal für: Einzelanwälte, die Komfort schätzen und kein Self-Hosting wollen
Schweizer Anbieter (Proton AG), nicht US-amerikanisch. Komfortable Bedienung, gute Browser- und App-Integration. Kostenlose Basisversion verfügbar. Kein Self-Hosting möglich – Daten liegen auf Proton-Servern in der Schweiz.
Hinweis: Schweizer Behörden können unter bestimmten Voraussetzungen Datenzugang erhalten.
🇩🇪 Psono EU (Deutschland) Self-Hosting
Ideal für: Kanzleien mit IT-Infrastruktur und Datenschutz-Bewusstsein
Deutsches Unternehmen (esaga GmbH, Hannover). Selbst-Hosting möglich, auch Cloud-Version verfügbar. Guter Funktionsumfang, Webclient ohne Browser-Erweiterung. Für größere Teams ist die kostenpflichtige Enterprise-Variante erforderlich.
Hinweis: Android-App hat laut Test einige Schwächen bei der Autofill-Funktion.
5. DSGVO-Checkliste: Passwortmanagement in der Kanzlei
Nutzen Sie diese Checkliste als Grundlage für Ihre internen Datenschutz-Dokumentation (TOMs gemäß Art. 32 DSGVO):
📋 Technische Maßnahmen
- Kein US-amerikanischer Passwortmanager für Kanzlei-Zugangsdaten (CLOUD-Act-Risiko)
- Ende-zu-Ende-Verschlüsselung des Passwortspeichers ist sichergestellt
- Masterpasswort / Passphrase ist stark (mind. 20 Zeichen, keine Wörter, kein Datum)
- Zwei-Faktor-Authentifizierung (2FA) für den Passwortmanager aktiviert
- Regelmäßige Backups der Passwortdatenbank auf verschlüsseltem Datenträger
- Automatische Sperrung nach Inaktivität ist eingestellt
- Keine Passwörter im Klartext in E-Mails, Chat oder Dokumenten
- Passkeys wo möglich statt herkömmlicher Passwörter einsetzen
📋 Organisatorische Maßnahmen
- Passwortmanager in den Datenschutz-Richtlinien der Kanzlei dokumentiert (VVT, Art. 30 DSGVO)
- Zuständigkeit geregelt: Wer administriert den Passwortmanager?
- Zugriffsbeschränkung: Mitarbeiter erhalten nur Zugang zu den für sie relevanten Passwörtern
- Passwort-Richtlinie für die Kanzlei schriftlich festgelegt (Mindestlänge, Sonderzeichen, Ablauffristen)
- Ausscheiden von Mitarbeitern: Passwörter werden nach Austritt geändert / Zugang entzogen
- Schulung: Alle Kanzleimitarbeiter wurden im Umgang mit dem Passwortmanager eingewiesen
- Auftragsverarbeitungsvertrag (AVV) mit Anbieter geprüft (sofern Daten beim Anbieter gespeichert)
- Kein Teilen von Passwörtern per unverschlüsselter E-Mail oder Messenger
6. So führen Sie einen DSGVO-konformen Passwortmanager ein – Schritt für Schritt
Welche Passwörter gibt es in der Kanzlei?
Passwortmanager nach Kanzleigröße & IT-Ressourcen wählen
Auf eigenem Server oder lokalem Gerät einrichten
Alle Passwörter importieren & schwache Passwörter ersetzen
TOMs aktualisieren, Team schulen, AVV prüfen
7. Häufige Fragen aus der Kanzleipraxis
„Darf ich als Anwalt LastPass oder 1Password verwenden?“
Beide Anbieter haben ihren Sitz in den USA und unterliegen dem CLOUD Act. Die Nutzung für kanzleibezogene Zugangsdaten (beA, Mandantenportal, Kanzleisoftware) ist aus datenschutzrechtlicher Sicht problematisch. Auch wenn diese Dienste mit Ende-zu-Ende-Verschlüsselung werben, kann der verschlüsselte Datensatz herausgegeben werden. Wir empfehlen den Wechsel zu einer europäischen oder schweizerischen Lösung.
„Reicht es nicht, Passwörter im Browser zu speichern?“
Browser-Passwortmanager (Chrome, Edge, Firefox) sind an Google- bzw. Microsoft-Konten gebunden – also wiederum US-Dienste mit CLOUD-Act-Problematik. Zudem fehlen Funktionen wie 2FA für den Passwortspeicher selbst, Teamverwaltung und revisionssichere Protokollierung. Für den Kanzleieinsatz nicht empfehlenswert.
„Was ist ein ‚Passkey‘ und warum ist das wichtig?“
Ein Passkey ersetzt klassische Passwörter durch kryptografische Schlüsselpaare. Vereinfacht gesagt: Statt eines Passworts nutzen Sie Ihr Gerät (z.B. per Fingerabdruck) zur Anmeldung. Passkeys können nicht gestohlen oder erraten werden und bieten dadurch erheblich mehr Sicherheit. Moderne Passwortmanager wie KeePassXC, Proton Pass und Psono unterstützen bereits heute Passkeys.
„Was ist, wenn wir keinen eigenen IT-Administrator haben?“
Für Einzelanwälte oder Kleinkanzleien ohne IT-Personal empfiehlt sich KeePassXC (lokal, keine Serverkenntnisse nötig) oder Proton Pass (Cloud, Schweiz, einfache Bedienung). Wer einen Teams-fähigen Passwortmanager ohne aufwendige Administration wünscht, kann Passbolt oder Psono über einen deutschen IT-Dienstleister als Managed Service betreiben lassen.
„Müssen wir als Kanzlei einen Auftragsverarbeitungsvertrag abschließen?“
Sofern personenbezogene Daten durch den Passwortmanager verarbeitet werden (etwa Nutzerdaten bei einem gehosteten Dienst), ja. Bei rein lokaler Nutzung (KeePassXC ohne Cloud-Sync) entfällt dies. Bei Passbolt-Cloud-Nutzung oder Psono-Cloud besteht eine Auftragsverarbeitungsbeziehung, die vertraglich zu regeln ist (Art. 28 DSGVO).
⚠️ Besondere Sorgfaltspflicht: Anwaltliche Verschwiegenheit und IT-Sicherheit
Die anwaltliche Verschwiegenheitspflicht (§ 43a BRAO) ist nicht auf mündliche oder schriftliche Kommunikation beschränkt. Sie umfasst auch alle digitalen Zugangswege zu mandantenbezogenen Informationen. Das bedeutet: Wer durch leichtfertige IT-Sicherheit einem Dritten – auch einem US-Geheimdienst – den Zugang zu Mandantengeheimnissen ermöglicht, verletzt möglicherweise seine Berufspflichten.
Die Bundesrechtsanwaltskammer (BRAK) empfiehlt in ihren Grundsätzen für die Nutzung von Cloud-Diensten ausdrücklich den Einsatz europäischer Anbieter mit Ende-zu-Ende-Verschlüsselung und die sorgfältige Prüfung der Drittlandübermittlung nach Art. 44 ff. DSGVO.
Fazit
Ein guter Passwortmanager ist kein Luxus – er ist eine berufsrechtliche Notwendigkeit. Für Anwaltskanzleien gilt: US-amerikanische Cloud-Dienste sind zu vermeiden. Die sichersten und datenschutzrechtskonformsten Optionen sind europäische Open-Source-Lösungen, die entweder lokal betrieben oder auf einem selbst kontrollierten Server in der EU gehostet werden.
Unsere Kurzempfehlung:
- Einzelanwalt / Kleinkanzlei ohne IT-Personal: KeePassXC (lokal) oder Proton Pass (Schweiz)
- Kanzlei mit mehreren Nutzern und IT-Kenntnissen: Passbolt (selbst gehostet, EU) oder Psono
- Kanzlei mit IT-Dienstleister: Passbolt als Managed Service auf deutschem Rechenzentrum
Wer auf der sicheren Seite sein möchte, ergänzt den Passwortmanager durch eine Zwei-Faktor-Authentifizierung (Hardware-Schlüssel wie YubiKey oder TOTP-App) und hält die Software durch regelmäßige Updates aktuell.
Halten Sie die Wahl Ihres Passwortmanagers und die getroffenen technischen Maßnahmen schriftlich fest – als Teil Ihres Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO) und Ihrer TOM-Dokumentation. Im Falle einer Datenpannenprüfung oder einer Anfrage der Aufsichtsbehörde können Sie so nachweisen, dass Sie Ihren Sorgfaltspflichten nach Art. 32 DSGVO nachgekommen sind.
Kathrin Stoll, „Einen Passwortmanager sollte jeder nutzen“, c’t 7/2026, S. 20 ff. |
Jan Schüßler, „Sicher, hier! – Fünf Open-Source-Passwortmanager im Vergleich“, c’t 7/2026, S. 24 ff. |
Niklas Dierking, „Meine Passwörter, mein Heimserver – Passbolt selbst hosten“, c’t 7/2026, S. 30 ff. |
BRAK, Grundsätze für die Nutzung von Cloud-Diensten in der Anwaltschaft |
Dieser Artikel ersetzt keine individuelle Rechtsberatung. Für die Einrichtung konkreter IT-Infrastrukturen empfehlen wir die Hinzuziehung eines zertifizierten Datenschutzbeauftragten und eines IT-Fachanwalts.Erstellt mit Unterstützung von LexBot – der KI-gestützten Rechtsberatung auf rechtsanwalt.com