Microsoft 365 ist für deutsche Steuerkanzleien das mit Abstand häufigste Office-Setup. Trotzdem ist die Konfiguration nicht trivial: Falsch eingerichtet, kann ein M365-Tenant Daten unverschlüsselt in andere Microsoft-Regionen synchronisieren und Mandantengeheimnis-Pflichten verletzen. Richtig konfiguriert, erfüllt M365 DSGVO und §203 StGB zuverlässig.
Welchen Plan wählen?
Für Steuerkanzleien sehen wir in 80% der Fälle Microsoft 365 Business Premium als richtige Wahl. Der Plan kombiniert Office-Anwendungen (Outlook, Word, Excel, Teams) mit Defender for Business (Endpoint-Schutz) und Intune (Geräteverwaltung). Ohne diese Security-Bausteine ist eine Steuerkanzlei unter heutigen Bedrohungs-Szenarien schlicht nicht ausreichend abgesichert.
Für sehr kleine Kanzleien (1–3 Plätze) kann Business Standard zusätzlich mit einem separaten Endpoint-Schutz arbeiten — sehen Sie sich dazu auch unsere Antivirenlösungen an.
Schrems II und das Data Privacy Framework
2020 hat der EuGH das US Privacy Shield gekippt (Schrems-II-Urteil) — seitdem ist Standardvertragsklauseln-Compliance allein nicht mehr ausreichend, sondern erfordert eine zusätzliche Transfer-Impact-Bewertung. Im Juli 2023 hat die EU-Kommission das EU-US Data Privacy Framework (DPF) als neue Rechtsgrundlage anerkannt. Microsoft Corp. ist DPF-zertifiziert.
Praktisch bedeutet das: Datenflüsse zu Microsoft sind heute rechtskonform möglich, wenn (a) der AVV mit Microsoft Irland geschlossen wird und (b) Sie die Datenresidenz auf die EU beschränken. Beides ist Default-Bestandteil unserer M365-Setups für Steuerkanzleien.
Mandantengeheimnis und Zugriffsrechte
§203 StGB verpflichtet Berufsgeheimnisträger:innen — also auch Steuerberater:innen — zur Verschwiegenheit. Bei einem M365-Tenant heißt das konkret:
- Externe IT-Dienstleister (also wir) brauchen einen ergänzten AVV nach Art. 28 DSGVO mit Verschwiegenheitsklausel
- Admin-Zugriffe von uns auf Ihren Tenant werden audit-protokolliert und nur bei expliziter Notwendigkeit ausgeführt — kein Routine-Admin-Login
- Conditional Access verbietet Zugriffe aus Ländern außerhalb der EU (technische Durchsetzung statt nur Policy)
- MFA ist Pflicht für alle Konten ohne Ausnahme — auch Service-Accounts
Was wir nicht empfehlen
- Microsoft 365 Apps for Business (Office ohne E-Mail) — funktioniert nicht zusammen mit DATEV-Workflows
- Personal-/Family-Pläne im geschäftlichen Einsatz — DSGVO-rechtlich nicht ausreichend abgesichert
- OneDrive Personal als Mandantendaten-Ablage — kein AVV, kein Audit
- Default-Tenant-Setup ohne Conditional-Access-Policies — quasi offener Login von jedem Ort der Welt
Migration in der Praxis
Eine typische Migration von On-Premise-Exchange (oder einem Wettbewerbs-Produkt) auf Exchange Online dauert für 10 Postfächer ca. ein Wochenende. Wir beginnen Freitag abends mit dem Mail-Forwarding, übertragen die Inhalte über Nacht und schalten Montag früh auf den neuen Tenant um. Während des gesamten Zeitraums sind Mails empfangbar — Out-of-Office notwendige Zeit unter einer Stunde.
Wir begleiten Sie auch nach der Migration. Über unsere 24h-Notfall-Hotline sind wir bei Anmelde-Problemen, fehlenden Berechtigungen oder Outlook-Synchronisationsfehlern direkt erreichbar.