BEKOM MANAGEDOpen-Xchange für KanzleienDSGVO- und BRAO-konform
Open-Xchange App Suite für Anwaltskanzleien und Steuerberater: DSGVO- und BRAO-konforme E-Mail, Kalender und Datei-Ablage – mit BEKOM Managed Collaboration in deutschen Rechenzentren.
Kanzleien als Sonderfall
Anwaltskanzleien, Steuerberater-Sozietäten und Wirtschaftsprüfer arbeiten unter strengen rechtlichen Anforderungen: das Mandantengeheimnis aus § 43a BRAO, die Berufsordnung der Bundesrechtsanwaltskammer (BORA), die DSGVO und – je nach Mandantschaft – sektorale Anforderungen aus dem Steuer-, Gesellschafts- oder Compliance-Recht. Die Kommunikation mit Mandanten, Gerichten, Behörden und Kollegen ist Teil der täglichen Berufsausübung – und damit zugleich das größte Compliance-Risiko, wenn Kommunikations- und Ablage-Plattformen den rechtlichen Anforderungen nicht entsprechen. Drei Beobachtungen aus laufenden Kanzlei-Projekten markieren den Anlass für eine strukturelle Neubewertung der bestehenden Plattform-Landschaft.
Open-Xchange-Plattformen in Kanzleien sind geschäftskritisch für die tägliche Mandantenkommunikation und Auftragsverarbeitung – von der E-Mail-Korrespondenz mit Gerichten bis zur standortübergreifenden Dokumentenablage in Sozietäten. Compliance-Anforderungen aus BRAO, BORA und DSGVO machen die Verfügbarkeit einer audit-fähigen, rechtssicheren Kommunikationsplattform zur operativen Betriebsvoraussetzung. → BEKOM MANAGED Applications
Hyperscaler-Bedenken bei Mandantenkommunikation
Datenschutzrechtliche Unsicherheiten zu US-Cloud-Diensten und das Mandantengeheimnis nach BRAO führen zu kritischer Prüfung von Microsoft 365, Google Workspace und vergleichbaren Diensten. Die Verantwortung für Mandantendaten liegt berufsrechtlich bei der Kanzleileitung – und ist bei US-Anbietern strukturell schwerer dokumentierbar.
Wesentliche Treiber im Kanzlei-Umfeld:
US-CLOUD-Act und Drittstaaten-Übermittlung – Zugriffsmöglichkeit US-amerikanischer Behörden auf Daten in US-Anbieter-Plattformen wird in Risikoanalysen zunehmend berücksichtigt
Mandantengeheimnis als Berufsrechtspflicht – § 43a BRAO und BORA verlangen nachweisbare Verschwiegenheit, die bei Hyperscaler-Bündel-Verträgen schwer einzeln auditierbar ist
Sub-Auftragsverarbeiter-Listen mit globaler Tiefe – Hyperscaler-AVVs verweisen auf wechselnde Sub-Auftragsverarbeiter weltweit; Kammer- und Aufsichts-Anfragen erfordern dokumentierbare Standorte
Audit-Anfragen aus Berufskammern und Versicherern – Berufshaftpflicht-Versicherer und Kammern fragen zunehmend nach dokumentierter Datenresidenz und Verarbeitungs-Verzeichnis
Die Plattform-Frage wird damit aus dem IT-Bereich in die Geschäftsführung der Kanzlei verlagert – mit dokumentierbarem Anlass für eine strukturierte Bewertung.
Verteilte Kommunikation als Risikoquelle
Kanzleien nutzen häufig parallele Kommunikationswege: Standard-E-Mail, beA, Mandanten-Portale, Cloud-Dienste, Datei-Austausch über USB-Sticks oder unstrukturierte Ablagen. Diese Vielfalt erschwert Dokumentation, Berechtigungs-Steuerung und revisionsfeste Akten-Führung.
Risiken in heterogenen Kommunikations-Landschaften:
Unkontrollierte Schatten-IT – einzelne Sozien oder Mitarbeiter nutzen private Cloud-Konten oder Messenger-Dienste für Mandanten-Kommunikation, ohne dokumentierten AVV
Berechtigungs-Inseln pro Werkzeug – jedes System hat eigenes Rollenmodell; Vertretungen, Vertraulichkeits-Stufen und Mandanten-Sperren sind nicht zentral steuerbar
Audit-Lücken bei verteilten Beständen – Datenschutz-Folgenabschätzung und Verarbeitungs-Verzeichnis decken nur die zentral verwalteten Systeme ab; Schatten-Bestände bleiben außen vor
Daten-Verlust bei Sozietäts-Wechseln – ausscheidende Sozien nehmen E-Mail-Bestände auf privaten Geräten mit; Übergabe-Prozesse sind ohne zentrale Plattform organisatorisch fragil
Eine zentrale Plattform mit dokumentierten Berechtigungen, Audit-Logs und kontrollierten Außenkanten reduziert diese Risiken strukturell – mit dem Berufsrecht im Hintergrund und der DSGVO im Vordergrund.
Generationenwechsel und Kanzlei-Übernahmen
Beim Übergang zwischen Inhabern, der Eingliederung neuer Sozietäten oder der Übernahme von Einzelpraxen entstehen Migrations-Bedarfe für E-Mail-Bestände, Akten und Kommunikations-Historien. Diese Übergänge sind berufsrechtlich heikel und brauchen strukturierte Begleitung.
Konstellationen mit Migrations-Bedarf:
Sozietäts-Eingliederung mit Bestandsübernahme – neue Sozietät bringt eigene E-Mail-Plattform und Akten-Bestand mit; Konsolidierung in einheitlichem Berechtigungs-Modell wird zur Übernahme-Voraussetzung
Inhaber-Übergabe und Generationswechsel – beim Übergang an Junior-Sozien oder Nachfolger werden Kommunikations-Historien strukturiert übergeben; Dokumentations-Tiefe entscheidet über Rechtssicherheit
Ausscheiden von Sozien mit Mandanten-Mitnahme – berufsrechtlich klare Aufteilung der Mandanten-Bestände erfordert technische Abbildung in Berechtigungs-Modell und Akten-Trennung
Spezial-Mandate mit erhöhten Compliance-Anforderungen – Strafverteidigung, Insolvenz-Mandate, M&A-Verfahren oder Kapitalmarkt-Mandate verlangen besondere Vertraulichkeits-Bereiche mit dokumentiertem Audit-Trail
Diese Beobachtungen beschreiben den BEKOM-Pfad für eine Open-Xchange-basierte Kommunikations- und Kollaborations-Plattform für Kanzleien, im Verbund mit Managed Collaboration. BEKOM ist keine Anwaltskammer – die berufsrechtliche Auslegung der BRAO bleibt bei Kammern, Kanzleileitung und spezialisierten Berufsrechtsberatern.
Pflichtbereiche in Kanzleien
Eine BRAO- und DSGVO-konforme Kommunikations-Plattform für Kanzleien muss mehrere ineinandergreifende Anforderungen abdecken. Eine punktuelle Lösung pro Anforderung führt zu Insellösungen und Risiken in der Mandantenkommunikation – BEKOM strukturiert die Bereiche im Methoden-Verbund. Vier Pflichtbereiche werden im Plattform-Konzept gleichzeitig adressiert.
Mandantengeheimnis und Berufsrecht
§ 43a BRAO und das berufsrechtliche Verschwiegenheits-Gebot setzen den Rahmen: Mandantendaten dürfen nur den Personen zugänglich sein, die berufsrechtlich dazu autorisiert sind. Open-Xchange liefert die nötigen Bausteine; BEKOM richtet die Plattform berufsrechtlich konform ein und liefert die operative Dokumentation für die Geschäftsführung der Kanzlei.
Bausteine zum Schutz des Mandantengeheimnisses:
Granulare Berechtigungen pro Postfach und Datei-Bereich – Sozietäts-, Mandanten- und Verfahrens-Ebene mit dezidierten Zugängen und nachvollziehbaren Vergaben
Lückenlose Audit-Logs für Zugriffe und Änderungen – jeder Zugriff auf Mandanten-Bestände wird protokolliert; Logs sind für Audits und Kammer-Anfragen abrufbar
Berufsrechtlich konforme Postfach-Strukturen – Sozien-, Sekretariat-, Vertretungs- und Mandanten-Postfächer mit klar definierten Sichtbarkeits-Regeln
Operative Dokumentation für Kanzleileitung – Verarbeitungs-Beschreibung, Rollen-Matrix und Audit-Bericht in standardisierter Form für interne Revision und Kammer-Anfragen
Damit liegt die berufsrechtliche Konformität dokumentiert vor und ist gegenüber Kammern, Auditoren und Versicherern belegbar.
Datenschutz, AVV und Datenresidenz
Die DSGVO ergänzt das Berufsrecht um datenschutzrechtliche Anforderungen: Verarbeitungs-Verzeichnis, Auftragsverarbeitungs-Vertrag (AVV) nach Art. 28 DSGVO, Datenschutz-Folgenabschätzung bei besonders sensiblen Verarbeitungen. BEKOM betreibt Open-Xchange in deutschen Rechenzentren mit klar dokumentierten Datenflüssen.
DSGVO-konforme Vertrags- und Betriebsstruktur:
AVV nach Art. 28 DSGVO mit Kanzlei-Anhang – Auftragsverarbeitungs-Vertrag mit berufsrechtlich relevanten Ergänzungen (Verschwiegenheit, Audit-Rechte, Sub-Outsourcing-Pflichten)
Datenresidenz in deutschen BEKOM-Rechenzentren – Server, Speicher und Backups verbleiben im deutschen Rechtsraum mit dokumentiertem Standort und kontrolliertem Zugriff
Sub-Auftragsverarbeiter-Liste als Vertragsbestandteil – jeder Sub-Auftragnehmer im deutschen Rechtsraum; Änderungen werden im definierten Verfahren angekündigt und sind kündbar
Datenschutz-Folgenabschätzung bei besonderen Mandaten – BEKOM liefert Bausteine und Dokumentations-Vorlagen für die DSFA, die der Datenschutz-Beauftragte der Kanzlei finalisiert
So entsteht eine durchgehende DSGVO-Dokumentation, die Aufsichtsbehörden, Kammern und Versicherer ohne Übersetzung nachvollziehen können.
E-Mail-Sicherheit und Verschlüsselung
E-Mail bleibt der zentrale Kommunikations-Kanal mit Mandanten, Gerichten und Behörden. Die Plattform muss Transport- und – bei Bedarf – Inhalts-Verschlüsselung unterstützen, sichere Speicherung sicherstellen und differenzierte Postfach-Strukturen für Kanzlei-, Sozietäts- und Mandanten-bezogene Kommunikation bieten.
Verschlüsselungs- und Schutz-Schichten:
TLS-Transport-Verschlüsselung mit aktuellen Cipher-Profilen – verbindlich aktivierte TLS-Versionen mit dokumentierten Cipher-Suites und Zertifikats-Lebenszyklus
Inhalts-Verschlüsselung über S/MIME oder PGP – integrierbar mit etablierten Schlüssel-Management-Lösungen, die viele Kanzleien bereits einsetzen
Speicher-Verschlüsselung im Ruhezustand – Server- und Backup-Speicher verschlüsselt mit dokumentiertem Schlüssel-Lebenszyklus und getrennten Schlüssel-Verantwortlichkeiten
Spam-, Phishing- und Malware-Schutz mit Quarantäne – mehrstufige Filter mit Anwender-Quarantäne und administrativer Freigabe; dokumentierte Bypass-Regeln für vertrauenswürdige Absender
Die Schutz-Schichten werden im Plattform-Konzept beschrieben und im Service-Design verbindlich vereinbart – nicht pauschal versprochen.
Berechtigungen, Aufbewahrung und Akten-Lebenszyklus
In Kanzleien sind Berechtigungen oft komplex (Sozien, Associates, Referendare, Vertretungs-Regelungen) und Aufbewahrungs-Pflichten unterscheiden sich nach Rechtsgebiet zwischen sechs und zehn Jahren. Im Zusammenspiel mit Keycloak und Paperless-ngx entsteht eine durchgängige Akten-Führung.
Akten- und Berechtigungs-Bausteine:
Rollenmodell mit Multi-Faktor-Authentifizierung – Sozien, Associates, Sekretariat und Mandanten-Zugang mit konsistenten Rollen, MFA und Single-Sign-On über Keycloak
Vertretungs- und Urlaubsregelungen mit Audit-Trail – zeitlich befristete Stellvertretungs-Zugriffe mit dokumentierter Vergabe und automatischem Ende
Aufbewahrungs-Regeln nach Rechtsgebiet – konfigurierbare Retention pro Postfach- oder Akten-Typ (sechs bis zehn Jahre), mit kontrolliertem Lösch-Konzept nach Fristablauf
Strukturierte Archiv-Übergabe an Paperless-ngx – langfristige Akten-Ablage in dokumentenmanagement-system mit Volltext-Suche, Versionierung und Lösch-Steuerung
Damit ist die Akten-Lebenszyklus-Steuerung von der laufenden Kommunikation bis zum Archiv durchgängig dokumentiert und prüffest.
Umsetzungs-Phasen für Kanzleien
Die Plattform-Einführung erfolgt in drei Phasen mit klaren Ergebnissen. Die Reihenfolge ist nicht beliebig: Ohne Bestandsaufnahme keine belastbare Plattform-Konzeption, ohne Konzeption keine zielgerichtete Migration der bestehenden Kommunikations-Bestände. Jede Phase ist ein eigenständiges Auftrags-Paket mit eigener Abnahme – die Investitions-Entscheidung bleibt zwischen den Phasen reversibel.
Phase 1: Bestandsaufnahme und Plattform-Konzeption
In Phase 1 erfasst BEKOM gemeinsam mit der Kanzleileitung und – falls vorhanden – dem Datenschutz-Beauftragten die aktuelle Kommunikations- und Akten-Landschaft. Das Ergebnis ist ein Plattform-Konzept mit definierten Postfach-Strukturen, Rollen, Datenresidenz-Vorgaben und Schnittstellen.
Inhalte der Bestandsaufnahme:
Kommunikations-Inventar mit Schatten-Bestände – Erfassung aller E-Mail-Systeme, Cloud-Dienste, Mandanten-Portale und unstrukturierter Ablagen, inklusive privater Cloud-Konten in der Sozietät
Berechtigungs- und Vertretungs-Mapping – heutige Rollen, Vertretungs-Regelungen, Mandanten-Sperren und Sozietäts-Trennungen werden strukturiert dokumentiert
Schnittstellen zu beA, Kanzlei-Software und Steuer-Systemen – Aufnahme der DATEV-, RA-MICRO-, Advoware- und beA-Integrationen mit klarer Abgrenzung zwischen Plattform und Fach-Systemen
Plattform-Konzept und Migrations-Strategie – schriftliches Konzept mit Postfach-Strukturen, Rollen, Datenresidenz und Stufen-Plan als Verhandlungs-Grundlage für die Kanzleileitung
Die Strategie-Phase ist abgeschlossen, sobald Kanzleileitung und – bei Bedarf – Datenschutz-Beauftragter das Konzept formell freigeben.
Phase 2: Strukturierte Migration in Stufen
In Phase 2 wird die Plattform aufgesetzt und schrittweise befüllt. Migration aus bestehenden E-Mail-Systemen, Cloud-Diensten und unstrukturierten Ablagen erfolgt in Stufen mit definierten Prioritäten – zuerst administrative Postfächer, dann mandantenbezogene Bestände.
Inhalte der Stufen-Migration:
Aufbau der Plattform mit Berechtigungs-Modell – Open-Xchange-Instanz im deutschen Rechenzentrum mit Keycloak-Anbindung, MFA und konfigurierten Audit-Logs
Stufen-Migration nach Mandanten-Risiko – administrative und Sozien-Postfächer zuerst, sensible Mandanten-Bestände nach Pilot-Validierung; Quell- und Zielsystem laufen parallel
Verschlüsselungs- und Schutz-Schichten aktivieren – TLS-Profile, S/MIME-/PGP-Integration, Spam-/Malware-Filter und Backup-Strategie mit Restore-Test-Nachweis
Schulung und Anwender-Begleitung pro Stufe – Schulungs-Material für Sozien, Associates und Kanzlei-Mitarbeiter; Hypercare-Phase mit erhöhter Bereitschaft direkt nach Cutover
BEKOM liefert die operativen Bausteine – berufsrechtliche Bewertung und Mandanten-Kommunikation verantwortet die Kanzleileitung; Dokumentation entsteht parallel als Verarbeitungs-Verzeichnis und AVV-Anhang.
Phase 3: Übergang in den Regelbetrieb
In Phase 3 wechselt die Plattform vom Migrations-Modus in den laufenden Betrieb. Monitoring, Backup, Updates, Berechtigungs-Reviews und Audit-Reports werden Teil der regulären IT-Funktion über Managed Collaboration.
Bausteine des Regelbetriebs:
Aufgabenmatrix Kanzlei und BEKOM – schriftliche Verteilung zwischen Kanzleileitung (berufsrechtliche Bewertung, Mandanten-Genehmigungen) und BEKOM (Plattform-Betrieb, Monitoring, Backup)
Quartalsweise Audit-Reports und Berechtigungs-Reviews – strukturierte Berichte für Kanzleileitung und Datenschutz-Beauftragte mit Auffälligkeiten und Handlungs-Empfehlungen
Patch-Management mit dokumentiertem Change-Prozess – Sicherheits-Updates im vereinbarten Wartungsfenster, kritische CVEs außerplanmäßig nach abgekürztem Verfahren mit Patch-Historie
Eskalations- und Incident-Pfade mit definierter Reaktionskette – Kontaktwege für Sicherheits-Vorfälle, beA-Störungen oder Mandanten-Anfragen mit dokumentierten Verantwortlichkeiten
Die Aufgabenmatrix wird im Service-Design dokumentiert und ist Grundlage für interne Audits, Kammer-Anfragen und Versicherungs-Prüfungen.
Was unterscheidet den BEKOM-Pfad für Kanzleien
Der Aufbau einer Kanzlei-Kommunikations-Plattform kann auf unterschiedlichen Wegen umgesetzt werden: mit dem eigenen IT-Dienstleister, durch Wechsel zu einem anderen Cloud-Anbieter oder durch einen strukturierten Open-Source-Pfad mit deutschem Betriebspartner. Drei Merkmale prägen die Zusammenarbeit mit BEKOM in diesem Kontext.
Open-Source-Plattform mit dokumentierter Datenportabilität
Open-Xchange ist Open Source – Daten bleiben in offenen Standards (IMAP, CalDAV, CardDAV, WebDAV), die Plattform kann grundsätzlich auch bei anderen Betreibern oder im Eigenbetrieb weitergeführt werden. Damit unterscheidet sich der Pfad strukturell von einem Wechsel zwischen Hyperscaler-Plattformen.
Was Portabilität in der Praxis bedeutet:
Offene Datenformate ohne Proprietary-Lock-in – IMAP, CalDAV, CardDAV, WebDAV statt Hersteller-spezifischer Container; Export jederzeit ohne Konvertierung möglich
Wechsel zwischen Betriebsmodellen ohne Datenneuanlage – Übergang zwischen On-Premise, deutschem Rechenzentrum und zertifiziertem Cloud-Partner ohne erneute Migration
Exit-Strategie als Standard-Vertragswerk – dokumentierte Architektur, Konfigurationen und Daten-Strukturen für geordneten Übergang sind Bestandteil des Service-Designs
Keine erneute Lizenz-Eskalation in fünf Jahren – Investition liegt in Plattform-Betrieb statt in steigenden Subscription-Preisen eines proprietären Anbieters
Damit wird die Strategie-Frage nicht durch eine zweite Anbieter-Bindung beantwortet, sondern durch eine strukturelle Architektur-Entscheidung mit dokumentierter Reversibilität.
Kanzlei-spezifische Service-Design-Begleitung
BEKOM kombiniert Open-Xchange mit einem Service-Design, das berufsrechtliche und Kanzlei-spezifische Anforderungen abbildet. Standard-Cloud-Verträge sind branchen-neutral; der BEKOM-Pfad strukturiert die Eigenheiten von Kanzleien als Bestandteil des Service-Designs.
Bausteine der Kanzlei-spezifischen Begleitung:
Berufsrechtlich vorbereitete Postfach-Strukturen – Sozien-, Sekretariat-, Vertretungs-, Mandanten-Postfächer mit Rollen-Vorlagen statt generischen Standard-Profilen
AVV-Anhang mit Kanzlei-Klauseln – Auftragsverarbeitungs-Vertrag mit berufsrechtlichen Ergänzungen (Verschwiegenheit, Audit-Rechte, Sub-Outsourcing-Pflichten) statt branchen-neutraler Standard-AVV
Aufgabenmatrix Kanzlei und Betreiber – schriftliche Verteilung zwischen Kanzleileitung und BEKOM für Mandanten-Genehmigungen, berufsrechtliche Bewertung und operativen Betrieb
Audit-Reports für Kammer- und Versicherungs-Anfragen – quartalsweise strukturierte Berichte in einer Form, die Kammern, Berufshaftpflicht-Versicherer und interne Revisionen unmittelbar verwerten
Standard-Cloud-Lösungen erbringen diese Tiefe nicht ohne zusätzliche Beratungs-Verträge mit Drittanbietern – BEKOM strukturiert sie als Teil des Service-Designs.
Deutscher Vertrags- und Datenraum mit dokumentierter Sub-Auftragskette
Vertragsgestaltung, Ansprechpartner und Betriebssprache sind ausschließlich auf deutschsprachige Organisationen ausgerichtet. Datenstandorte und Sub-Auftragsverarbeiter sind dokumentiert; Eskalationen erfolgen ohne Zeitzonen-Verzögerung und ohne Übersetzungs-Schleifen.
Praktische Auswirkungen im Kanzlei-Alltag:
Server, Speicher und Backups in deutschen BEKOM-Rechenzentren – mit dokumentiertem Standort, kontrolliertem physischem Zugriff und ohne Datenweitergabe an Anbieter mit US-CLOUD-Act-Bindung
Vertragstexte, AVV und SLAs in Deutsch – ohne englische Original-Klauseln mit Übersetzungsbeilage; Auslegung nach deutschem Recht ohne Rechtsraum-Brüche im Streitfall
Sub-Auftragsverarbeiter-Liste als Vertrags-Bestandteil – jeder Sub-Auftragnehmer im deutschen Rechtsraum; Änderungen werden im definierten Verfahren angekündigt und sind kündbar
Eskalation ohne Zeitzonen- oder Sprach-Verzögerung – Ansprechpartner mit Erfahrung in Kanzlei-Strukturen und Berufsrecht-Schnittstellen; direkte Erreichbarkeit ohne internationales Ticket-Routing
Gegenüber Hyperscaler-Plattformen mit globalem Support-Modell ist dieser Rahmen ein dokumentierbares Kriterium gegenüber Mandanten, Kammern und Berufshaftpflicht-Versicherern.
Kostenstruktur einer Kanzlei-Plattform
Die Plattform-Umsetzung wirkt auf drei Kostenebenen über den Lebenszyklus. Pauschale Einsparungen verspricht BEKOM nicht — ein strukturiertes Assessment ordnet die Ebenen gegen die heutige Ausgangslage und liefert eine belastbare Vergleichsgrundlage. Die tatsächliche Kostenwirkung hängt von Sozietäts-Größe, Mandanten-Volumen, Schnittstellen-Komplexität und Vertragslage ab und wird pro Kanzlei ermittelt.
Bestandsseite – heute Microsoft 365, Google Workspace oder Standard-Hosting
Auf der Bestandsseite wirken nicht nur die monatlichen Lizenzkosten, sondern auch gebundenes Personal, Drittanbieter-Tools und Beratungs-Aufwände für Datenschutz und Berufsrecht.
Kostentreiber im laufenden Bestand:
Lizenzkosten der bestehenden Cloud-Dienste – Microsoft 365 oder Google Workspace pro Sozius und Mitarbeiter, mit jährlichen Preisanpassungen und Funktions-Verschiebungen
Ergänzende Tools für Verschlüsselung und Archivierung – externe S/MIME-Lösungen, Archiv-Subscriptions und Backup-Tools außerhalb der Standard-Microsoft- oder Google-Retention
Externe Beratung zu Datenschutz und Berufsrecht – Datenschutz-Beauftragten-Mandate, Datenschutz-Folgenabschätzung und berufsrechtliche Bewertung pro Plattform-Änderung
Personalkapazität für Berechtigungs-Pflege und Audits – gebundene Stunden für Lizenz-Pflege, Audit-Vorbereitung, Mandanten-Anfragen und Kammer-Berichte
Im Assessment werden diese Treiber gegen den heutigen Bestand gerechnet und ergeben die Bestandsseite des Vergleichs.
Migrationsphase – einmalige Aufwände
Während der Plattform-Umsetzung entstehen einmalige Aufwände, die als abgegrenzte Pakete vereinbart werden. Der Vorteil: jede Phase hat eigenen Umfang und eigene Abnahme — die Investitions-Entscheidung bleibt zwischen den Phasen reversibel.
Einmalige Umsetzungs-Aufwände:
Bestandsaufnahme und Plattform-Konzeption – Kommunikations-Inventar, Berechtigungs-Mapping, Schnittstellen-Erfassung und schriftliches Plattform-Konzept als Verhandlungs-Grundlage
Aufbau der Plattform und Berechtigungs-Modell – Open-Xchange-Instanz im deutschen Rechenzentrum mit Keycloak, MFA, Audit-Logs und Verschlüsselungs-Schichten
Migration der Postfächer und Akten-Bestände in Stufen – Daten-Übertragung, Vollständigkeits-Prüfung, Cutover und Hypercare pro Stufe
Schulung der Sozien und Mitarbeiter – Schulungs-Material, FAQ-Sammlungen und Vor-Ort-Begleitung; Datenschutz-Folgenabschätzung gemeinsam mit dem Datenschutz-Beauftragten
Die Anteile werden im Angebot getrennt ausgewiesen, sodass interne Budgetbegründungen und Abstimmungen mit Sozien sauber möglich bleiben.
Zielseite – laufender Open-Xchange-Betrieb
Auf der Zielseite verschieben sich die Treiber von Hyperscaler-Lizenzen zu Plattform-Service. Die monatliche Pauschale ist planbar; ergänzende Beratung wird modular gebucht statt im Vertrag fest verankert.
Kostenebenen im laufenden Betrieb:
Monatliche Plattform-Service-Pauschale – abhängig von Anzahl Sozien und Mitarbeitern, Plattform-Umfang, SLA-Stufe und Service-Modell (Fully Managed oder Co-Managed)
Speicher- und Backup-Kosten im deutschen Rechenzentrum – nach tatsächlichem Volumen, mit definierten Aufbewahrungs-Fristen je Datenklasse und protokollierten Restore-Tests
Quartalsweise Audit-Reports und Berechtigungs-Reviews – als Bestandteil des Service-Designs, mit zugeschnittenen Formaten für Kammern, Versicherer und interne Revision
Modular ergänzende Beratungs-Pakete – Schulungen, Architektur-Reviews bei Sozietäts-Änderungen und DSFA-Begleitung sind als getrennte Pakete buchbar, ohne in der monatlichen Pauschale zu wachsen
Pauschale Einsparungs-Versprechen vermeidet BEKOM bewusst — die belastbare Aussage entsteht erst aus dem Bestands-Vergleich des konkreten Falls.
Häufige Fragen zu Open-Xchange für Kanzleien
Ersetzt Open-Xchange unser Kanzlei-Software-System?
Nein. Open-Xchange ist eine Kommunikations- und Kollaborations-Plattform (E-Mail, Kalender, Kontakte, Datei-Ablage), kein spezialisiertes Kanzlei-Software-System wie RA-MICRO oder Advoware. Diese spezialisierten Systeme bleiben für Akten-Führung, Honorar-Abrechnung und Workflow-Management bestehen. Open-Xchange flankiert sie für die laufende Kommunikation und für Workflows, die heute über Cloud-Dienste oder unstrukturierte Ablagen laufen. Im Assessment wird klar dokumentiert, welche Workflows zu Open-Xchange passen und welche bei den spezialisierten Systemen verbleiben.
Wie verhält sich der Pfad zum besonderen elektronischen Anwaltspostfach (beA)?
Das beA bleibt für die rechtsverbindliche Kommunikation mit Gerichten und Behörden bestehen – Open-Xchange ersetzt es nicht. Open-Xchange ist die Plattform für die nicht-beA-pflichtige Kommunikation: Mandanten-E-Mails, kanzlei-interne Kollaboration, Kontakte, Kalender, Datei-Ablage. Im Assessment wird die Schnittstelle zwischen beA-Workflows und Open-Xchange klar dokumentiert, sodass keine Zuständigkeits-Unsicherheiten entstehen und beide Systeme rechtssicher nebeneinander betrieben werden.
Wie sicher ist Open-Xchange im Hinblick auf das Mandantengeheimnis?
Sicherheit entsteht aus mehreren Schichten: Verschlüsselung im Transport und im Ruhezustand, granulare Berechtigungen mit Multi-Faktor-Authentifizierung, dokumentierte Audit-Logs, segmentierte Netzwerke und regelmäßige Backup-Strategien. BEKOM betreibt die Plattform in deutschen Rechenzentren mit klar dokumentierten Datenflüssen und einem AVV nach Art. 28 DSGVO. Pauschale Garantien zur berufsrechtlichen Konformität gibt BEKOM nicht – die berufsrechtliche Bewertung bleibt bei der Kanzleileitung und – bei Bedarf – bei spezialisierten Berufsrechtsberatern.
Können Mandanten sicher Dateien austauschen?
Ja, über kontrollierte Freigabe-Funktionen mit zeitlich befristeten Zugängen, optionalem Passwort-Schutz und vollständigen Audit-Logs. Mandanten erhalten dedizierte Zugänge auf bestimmte Bereiche, ohne dass mandatsfremde Inhalte sichtbar sind. Im Assessment wird festgelegt, welche Mandanten-Freigaben standardmäßig zulässig sind und welche zusätzlichen Vereinbarungen erforderlich sind – inklusive der Frage, wie das Berufsrecht und die individuelle Mandats-Vereinbarung abgebildet werden.
Wie funktioniert die Migration aus Microsoft 365 oder Google Workspace?
Die Migration erfolgt in Stufen, geordnet nach Postfach-Typ und Mandanten-Risiko. Administrative und Sozien-Postfächer werden zuerst migriert, mandantenbezogene Postfächer folgen. Daten werden strukturiert übernommen: E-Mail-Bestände inklusive Ordnerstruktur, Kalender, Kontakte, Datei-Ablagen mit Versionshistorie. Während der Übergangsphase laufen Quell- und Zielsystem parallel; die Quell-Systeme werden erst nach abgeschlossener Migration und schriftlicher Freigabe abgeschaltet, sodass keine Nachrichten verloren gehen.
Was ist mit langjährigen E-Mail-Beständen und Aufbewahrungs-Pflichten?
Langjährige Bestände werden mit ihrer Ordnerstruktur übernommen und können in dedizierte Archiv-Postfächer überführt werden, die durchsuchbar bleiben, aber nicht mehr aktiv beschrieben werden. Aufbewahrungs- und Lösch-Regeln werden gemeinsam mit der Kanzleileitung definiert und technisch in der Plattform abgebildet. Bei strukturierter Akten-Führung empfiehlt BEKOM die Kombination mit einem Dokumenten-Management-System wie Paperless-ngx, das die strukturierte Archiv-Ablage langfristig organisiert.
Wir sind in einem laufenden M365- oder Google-Workspace-Vertrag — wann ist der Einstieg sinnvoll?
Der Einstieg orientiert sich am Renewal-Termin und an der Kanzlei-Lage. Bestandsaufnahme und Plattform-Konzept werden häufig vor der nächsten Vertragsverlängerung gestartet, sodass die Stufen-Migration parallel zum letzten Vertragsjahr läuft und Cloud-Subscriptions gestaffelt zurückgegeben werden. Bei längerer Restlaufzeit kann das Konzept auch unabhängig vom Renewal erstellt werden, um die Strategie-Annahmen frühzeitig zu validieren. Die Abstimmung erfolgt im Strategiegespräch unter Berücksichtigung aktueller Vertragslage und Sozietäts-Planungen.
Was passiert, wenn wir den Anbieter wechseln wollen?
Open-Xchange ist Open Source – die Daten bleiben in offenen Standards (IMAP, CalDAV, CardDAV, WebDAV), die Plattform kann grundsätzlich auch bei anderen Betreibern oder im Eigenbetrieb weitergeführt werden. BEKOM dokumentiert Architektur, Konfigurationen und Daten-Strukturen so, dass ein geordneter Übergang möglich ist. Eine Exit-Strategie wird im Service-Design vorab definiert und gehört zum Standard-Vertragswerk – das verhindert die Anbieter-Bindung, die viele Kanzleien bei Hyperscaler-Diensten als Risiko erleben.
Wie ist die Kostenstruktur des laufenden Plattform-Betriebs?
Die Kosten setzen sich aus einer monatlichen Plattform-Service-Pauschale zusammen, deren Höhe sich nach Anzahl Sozien und Mitarbeitern, Plattform-Umfang (Mail, Datei, Kalender, optional DMS), SLA-Stufe und Service-Modell richtet. Hinzu kommen Speicher- und Backup-Kosten im deutschen Rechenzentrum nach tatsächlichem Volumen sowie quartalsweise Audit-Reports als Bestandteil des Service-Designs. Im Rahmen des Assessments erstellt BEKOM eine individuelle Kalkulation auf Basis der Kanzlei-Größe und der Anforderungen aus Berufsrecht und Datenschutz.
Welche Verantwortung trägt BEKOM gegenüber der Kanzlei in Bezug auf BRAO und Verschwiegenheitspflicht?
Die anwaltliche Verschwiegenheitspflicht nach § 43a BRAO bleibt grundsätzlich Sache der Kanzlei – BEKOM agiert als Auftragsverarbeiter und unterliegt den vertraglichen Pflichten aus AVV und Schweigeverpflichtungserklärung. Im Service-Design-Dokument werden Aufgaben und Zuständigkeiten geregelt: BEKOM verantwortet Plattformbetrieb, Verschlüsselung in Ruhe und Transport, Zugangskontrolle, Audit-Logs und Backup. Die Kanzlei verantwortet Mandatsbezogene Datenverarbeitung, Mandanten- und Aktenrechte, Berufsrechtliche Aufbewahrungsfristen und Freigabe externer Zugriffe. Auftragsverarbeitungsverträge, Sub-Auftragsverarbeiter-Liste und Verschwiegenheitserklärungen liegen vor Aufnahme des Betriebs schriftlich vor.
Kanzlei-Assessment anfragen
Der Einstieg ist ein strukturiertes Assessment Ihrer aktuellen Kommunikations- und Akten-Landschaft. Auf Basis der Bestandsaufnahme entwickelt BEKOM gemeinsam mit Ihnen ein Plattform-Konzept und eine umsetzbare Roadmap – als Grundlage für Kanzleileitung, Datenschutz-Beauftragten und IT-Verantwortliche. Das Assessment ist ein eigenständiges Paket mit eigener Abnahme; die Investitions-Entscheidung über Migration und Plattform-Aufbau fällt erst nach Konzept-Freigabe.
Das Assessment für Open-Xchange-Kanzlei-Umgebungen liefert eine strukturierte Bestandsaufnahme der bestehenden Kommunikationslandschaft und rechtlichen Anforderungen. BEKOM erstellt eine Architektur-Empfehlung für DSGVO- und BRAO-konforme Open-Xchange-Implementierung, definiert den Betriebsumfang für Mandantendaten-Verarbeitung und dokumentiert das Service-Design für regulatorische Nachweispflichten. Das Ergebnis ist Klarheit über den Übergang zu einer rechtssicheren, deutschen Kommunikationsplattform.
Bestandsaufnahme der Kommunikations-Landschaft
In einem ersten Termin erfasst BEKOM Ihre aktuelle Kommunikations-Landschaft: welche E-Mail-Systeme und Cloud-Dienste sind im Einsatz, welche Mandanten-Portale werden genutzt, wie sind Berechtigungen heute strukturiert, welche Verschlüsselungs-Verfahren werden bereits eingesetzt. Sie erhalten eine strukturierte Aufnahme als Grundlage für die Plattform-Konzeption.
Schriftliches Plattform-Konzept als Verhandlungs-Grundlage
Auf Basis der Bestandsaufnahme entsteht ein Plattform-Konzept mit definierten Postfach-Strukturen, Rollen, Datenresidenz-Vorgaben und Schnittstellen zu beA und – falls vorhanden – zur Kanzlei-Software. Das Konzept ordnet, welche Workflows in Open-Xchange abgebildet werden und welche bei spezialisierten Systemen verbleiben – als Verhandlungs- und Planungsgrundlage für die Kanzleileitung.
Umsetzung in vereinbarten Stufen vereinbaren
Sofern das Konzept freigegeben wird, startet die strukturelle Migration in vereinbarten Stufen. Nach Abschluss erfolgt der geordnete Übergang in den Regelbetrieb über BEKOM Managed Collaboration – mit dokumentierten Datenflüssen, regelmäßigen Berechtigungs-Reviews und strukturierten Audit-Reports für Kanzleileitung und Datenschutz-Beauftragte.