---
name: cowork-cloud-kollaboration-drafting
description: "Mandantengeheimnis-konformes Drafting in der Cloud (Claude Cowork; Office 365; Google Workspace). Rechtlicher Rahmen § 43a Abs. 2 BRAO; § 203 StGB; § 26 BORA und Art. 28 DSGVO. Auftragsverarbeitungsvertrag ist Voraussetzung. Sensible Daten: Mandantenname; Aktenzeichen; Sachverhalt. Pseudonymisier..."
---

# Cowork und Cloud-Kollaboration im Drafting

## Arbeitsbereich

Mandantengeheimnis-konformes Drafting in der Cloud (Claude Cowork; Office 365; Google Workspace). Rechtlicher Rahmen § 43a Abs. 2 BRAO; § 203 StGB; § 26 BORA und Art. 28 DSGVO. Auftragsverarbeitungsvertrag ist Voraussetzung. Sensible Daten: Mandantenname; Aktenzeichen; Sachverhalt. Pseudonymisierung im Entwurf; Mandantendaten erst in finaler Fassung. Versionierung. Zwei-Faktor-Authentifizierung. Mit Pitfall-Liste zu WhatsApp; E-Mail und Cloud ohne Auftragsverarbeitungsvertrag. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: DSGVO Art. 33 Datenpanne 72h, ZPO § 130d aktive beA-Nutzung seit 01.01.2022, GwG § 8 Aufbewahrung 5 Jahre, KI-VO Art. 50 Kennzeichnung.
- Tragende Normen verifizieren: BRAO §§ 43a, 49b, DSGVO Art. 6, 28, 32, 35, BORA § 19a (technische Sorgfalt), beA-Bedingungen, ZPO § 130a (eVa), § 130d (aktive Nutzungspflicht), GwG § 8 Aufbewahrung — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Anwalt, Sekretariat, IT-Verantwortlicher, Datenschutzbeauftragter, KI-Anbieter (Auftragsverarbeiter), Kammer.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Word-Dokumentvorlage, beA-Schriftsatz, AV-Vertrag mit KI-Anbieter, DSFA, Sicherheitskonzept, AGB-/Mandantenklauseln zu KI-Einsatz — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Eingaben

- Genutzte Cloud-Tools in Ihrer Kanzlei
- Bestehende Auftragsverarbeitungsverträge mit den Anbietern
- Mandatscharakter (Standardmandat, Hochrisiko, internationale Beteiligung)
- Geräteumfeld (kanzleieigene Geräte, BYOD, Remote)
- Verteilungskreis (interne Co-Drafter, externe Kolleginnen, Mandant)

## Rechtlicher und methodischer Rahmen

- § 43a Abs. 2 BRAO: Verschwiegenheitspflicht der Anwältin und des Anwalts.
- § 203 Abs. 1 Nr. 3 StGB: Strafbarkeit der Verletzung von Privatgeheimnissen.
- § 203 Abs. 3 und Abs. 4 StGB: Mitwirkende Personen und externe Dienstleister; Voraussetzungen der zulässigen Einbindung.
- § 26 BORA: Sorgfalt bei Mitarbeiterinnen und Mitarbeitern sowie Dritten.
- Art. 5 DSGVO: Grundsätze (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit).
- Art. 28 DSGVO: Auftragsverarbeitung; schriftlicher Vertrag mit allen Pflichtinhalten erforderlich.
- Art. 32 DSGVO: Sicherheit der Verarbeitung (Pseudonymisierung; Verschlüsselung; Belastbarkeit; Wiederherstellbarkeit; regelmäßige Überprüfung).
- Art. 44 ff. DSGVO: Drittlandübermittlungen; insbesondere Schrems-II-Risiken bei US-Anbietern.
- BSI-Grundschutz und Empfehlungen der Bundesrechtsanwaltskammer zur Nutzung von Cloud-Diensten in Kanzleien.

## Ablauf / Checkliste

1. **Vor Tool-Nutzung: Auftragsverarbeitungsvertrag prüfen.** Liegt ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vor? Sonst keine Mandantendaten in dieses Tool.
2. **Datenklassifikation klären.** Welche Information ist sensibel? Mandantenname, Aktenzeichen, Sachverhalt, Gegenseite. Auch eine harmlos wirkende Mandatsbezeichnung kann den Identifizierungskreis offenbaren.
3. **Pseudonymisierung im Drafting-Prozess.** Während der Konzept- und Klauselarbeit: "Mandant", "Mandantin", "Gegenseite", "Anlage 1" statt Klarnamen. Konkrete Beträge ggf. durch Platzhalter ersetzen.
4. **Erst in finaler Fassung die Klarnamen einsetzen.** Vorher Mandantendaten in einer geschützten Umgebung halten (lokal oder in einer kanzleieigenen, klassifizierten Cloud).
5. **Versionsführung mit klaren Stempeln.** v0 lokal, v1 Cloud-Entwurf pseudonymisiert, v2 mit Mandantendaten in geschützter Umgebung, v-final unterschriftsreif.
6. **Zwei-Faktor-Authentifizierung verbindlich.** Für alle Cloud-Dienste; ohne Ausnahme.
7. **Geräte- und Pfadhygiene.** Keine Mandantendaten auf privaten Cloud-Speichern, nicht in privaten Mail-Konten, nicht auf privaten Handys ohne Mobile Device Management.
8. **Berechtigungskonzept Cowork-Räume.** Nur die Personen mit Zugang, die Zugang brauchen. Externe Drafter aus dem Cowork-Raum entfernen, sobald ihre Phase endet.
9. **Logging und Audit.** Aktivitätsprotokolle aktivieren; bei Bedarf Audit prüfen.
10. **Notfallplan.** Was ist zu tun bei Datenleck (Art. 33, 34 DSGVO Meldepflichten innerhalb von 72 Stunden)?

### Sensitivitäts-Matrix

| Datenkategorie | Sensitivität | Maßnahme |
|---|---|---|
| Mandantenname | hoch | Pseudonym im Entwurf |
| Aktenzeichen | hoch | nur in geschützter Umgebung |
| Sachverhalt mit personenbeziehbaren Daten | hoch | Pseudonym; finale Fassung lokal |
| Klauselrohling ohne Bezug | niedrig | unbedenklich in Cloud |
| Vergleichsbetrag | mittel | Platzhalter im Entwurf |
| Strafrechtliche Vorwürfe | sehr hoch | nur Onpremise oder klassifizierte Cloud |
| Gesundheitsdaten (Art. 9 DSGVO) | sehr hoch | nur Onpremise oder klassifizierte Cloud |

### Pseudonymisierungs-Konventionen

```
Mandant -> "Mandant" oder "M"
Gegenseite -> "Gegenseite" oder "G"
Aktenzeichen -> "AZ-001"
Datum konkret -> "TT.MM.JJJJ" als Platzhalter
Betrag konkret -> "[Betrag]" oder "X Euro"
Adressen -> "Anschrift M" / "Anschrift G"
```

## Typische Drafting-Fehler

- **WhatsApp, private E-Mail, Privat-Cloud.** Mandantendaten ohne Auftragsverarbeitungsvertrag und ohne Verschlüsselung sind ein Bruch von § 203 StGB.
- **Cloud-Anbieter ohne Auftragsverarbeitungsvertrag.** Selbst kostenlose Tools verarbeiten Daten; ohne Auftragsverarbeitungsvertrag tabu.
- **Klarnamen im Cowork-Raum von Anfang an.** Auch wenn der Anbieter geprüft ist, gehört das in die geschützte Umgebung.
- **Versionsdurcheinander.** Ohne klare Versionsstempel werden Entwürfe mit Klarnamen versehentlich extern geteilt.
- **Externe Drafter behalten Zugriff.** Nach Projektende vergessene Berechtigungen sind ein klassischer Fehler.
- **Keine Zwei-Faktor-Authentifizierung.** Passwort allein ist 2026 kein Schutz mehr.
- **Drittlandübermittlung übersehen.** Bei US-Cloud-Anbietern Schrems-II-Aspekte und Standardvertragsklauseln prüfen.
- **Bring-your-own-Device ohne Mobile Device Management.** Mandantendaten auf privaten Geräten ohne kontrollierten Trennungslogik.

## Beispiele

### Beispiel Cowork-Konzept für Vertragsdraft

```
Phase 1 (Konzept):
- Klauselbausteine in Cowork, vollständig pseudonymisiert.
- Mandant = "M", Gegenseite = "G", Beträge = "[Betrag]".

Phase 2 (Erstentwurf):
- Pseudonymisierter Entwurf in Cowork.
- Verweislogik und Versionen vor Versand bewusst kontrollieren.

Phase 3 (Mandantenfreigabe):
- Übernahme in lokale Word-Umgebung der Kanzlei.
- Klarnamen einsetzen, mit Mandant abstimmen.

Phase 4 (Versand an Gegenseite):
- Versand aus klassifizierter Kanzleiumgebung über beA, AnwaltsCloud oder verschlüsselte E-Mail.
- Metadaten vor Versand entfernen.
```

### Beispiel Verstoss-Szenario

Ein Anwalt schickt einen NDA-Entwurf für einen prominenten Mandanten über sein privates Gmail-Konto an einen externen Steuerberater. Folge: Verstoß gegen § 203 StGB (kein zulässiges Outsourcing nach § 203 Abs. 3 StGB), § 43a BRAO und Art. 32 DSGVO. Strafrechtliches Risiko, berufsrechtliche Maßnahme, Meldepflicht nach Art. 33, 34 DSGVO.

## Quellen (Stand 05/2026)

- § 43a Abs. 2 BRAO; § 203 Abs. 1 Nr. 3, Abs. 3 und Abs. 4 StGB; § 26 BORA; gesetze-im-internet.de und brak.de.
- Art. 5, 28, 32, 33, 34, 44 ff. DSGVO; dsgvo-gesetz.de.
- Empfehlungen der Bundesrechtsanwaltskammer zur Cloud-Nutzung: vom Nutzer zu prüfen, brak.de.
- Schrems-II-Urteil EuGH und Folgepraxis: vom Nutzer zu verifizieren (EuGH, Urt. v. 16. Juli 2020, Rs. C-311/18).
- `references/zitierweise.md` für Belegpflicht.