Zielgruppe: Rechtsanwälte, Fachanwälte, Kanzlei-IT-Verantwortliche Lesezeit: 12 Minuten Regulatorischer Bezug: §203 StGB, §43e BRAO, EuGH C-797/23
Auf einen Blick
Was ist Air Gap? Worum geht es? Welche Daten in einer Kanzlei gehören physisch vom Netz getrennt, welche reichen lokal, welche dürfen weiter in die Cloud.
Für wen ist das relevant? Anwältinnen und Anwälte, die nach dem EuGH-Beschluss vom Mai 2026 wissen wollen, was Berufsrecht heute praktisch von ihnen verlangt.
Was nimmst du mit?
- Eine Drei-Schichten-Logik, mit der du jede Datenklasse einer Risikostufe zuordnen kannst
- Die juristische Begründung, warum Air Gap kein Hobby ist, sondern eine Berufsrechts-Frage
- Eine ehrliche Einschätzung, was Air Gap nicht leistet und wann es übertrieben ist
Zeit bis zur ersten umsetzbaren Erkenntnis: 10 Minuten
Drei Sätze für den Einstieg
Wenn ich in Schulungen erkläre, wie sicher ein Computer wirklich sein kann, sage ich den Teilnehmern immer denselben Satz: Annähernd hundert Prozent Sicherheit bekommt ihr, wenn ihr euren Computer in den Keller stellt. Ohne WLAN, ohne LAN.
Die meisten lachen kurz. Dann wird es still. Weil sie merken, dass der Satz keine Witzpointe ist, sondern eine ernste Aussage darüber, was Sicherheit architektonisch bedeutet.
Genau darum geht es in diesem Beitrag. Nicht um den Keller-Rechner für alle. Sondern um die ehrliche Frage, welche Daten in einer Kanzlei wirklich vom Netz getrennt sein müssen, welche nur lokal gehalten werden sollten und welche weiter in die Cloud dürfen. Drei Schichten, klare Logik, juristisch begründet.
🟢 Orientierung
Was Air Gap wirklich ist
Air Gap heißt physische Trennung. Kein WLAN, kein Bluetooth, kein Kabel, das den Rechner mit einem anderen Netz verbindet. Das ist eine harte Aussage. Ein Rechner, der über USB an einen vernetzten Drucker hängt, ist nicht air-gapped. Ein Rechner, der einmal pro Woche per USB-Stick aktualisiert wird, ist auch nicht streng air-gapped, sondern eine schwächere Variante davon.
Diese Schärfe ist wichtig. Wer im Berufsrecht argumentiert, dass ein Setup air-gapped sei, muss sich an diese Definition halten. Halbe Air Gap gibt es technisch nicht. Es gibt entweder physische Trennung oder eine andere Schutz-Architektur, die anders heißt.
Was Air Gap leistet und was nicht
Ein air-gapped Rechner schützt gegen Angriffe über das Netz. Das ist die größte Kategorie aller heutigen IT-Bedrohungen. Phishing, Ransomware, Cloud-Lecks, Provider-Hacks, Lieferkettenangriffe: alles weg, wenn das Gerät nicht im Netz ist.
Air Gap schützt nicht gegen physischen Diebstahl. Es schützt nicht gegen einen Brand. Es schützt nicht gegen Sozial-Engineering, bei dem ein Mitarbeiter überredet wird, einen USB-Stick einzustecken. Es schützt nicht gegen Hardware-Schäden.
Es schützt auch nicht gegen den Stuxnet-Fall. Stuxnet war 2010 ein Schadprogramm, das eine air-gapped iranische Anreicherungsanlage über USB-Sticks erreicht hat, die zwischen vernetzten und air-gapped Systemen hin- und hergetauscht wurden. Das ist die ehrliche Einschränkung: jeder Austausch von Daten zwischen der Online- und der Offline-Welt schafft einen Übertragungspunkt, der angegriffen werden kann.
Trotzdem ist Air Gap die stärkste Form der Datentrennung, die ein ziviler Nutzer technisch erreichen kann. Annähernd hundert Prozent Sicherheit, wie eingangs gesagt. Nicht hundert. Aber näher dran als alle anderen Schutz-Architekturen.
Warum diese Frage gerade jetzt drängt
Drei Entwicklungen haben den Druck auf deutsche Anwälte spürbar erhöht.
Erstens, die Bestätigung der CLOUD-Act-Reichweite durch Microsoft selbst. Im Juni 2025 hat Antoine Carniaux, Vertreter von Microsoft France, vor dem französischen Senat unter Eid bestätigt, dass US-Provider Daten an US-Behörden herausgeben müssen, unabhängig vom Speicherort und unter strenger Geheimhaltung. Das ist keine Theorie mehr und kein Gerücht. Das ist eine eidesstattliche Aussage. Weder eine Auftragsverarbeitungs-Vereinbarung nach Artikel 28 DSGVO noch die EU Data Boundaries ändern an dieser Pflicht etwas.
Zweitens, der EuGH-Beschluss vom 12. Mai 2026 in der Rechtssache C-797/23. Die juristische Pointe darin ist nicht das Presse-Leistungsschutzrecht, das den eigentlichen Streitgegenstand bildete, sondern eine dogmatische Klarstellung: Schutz ist ex ante oder gar nicht. Wer staatlichen Zugriff technisch zulässt und nachträglich nur Schadensersatz anbietet, leistet keinen strukturellen Schutz. Diese Logik trifft das Berufsrecht ins Mark.
Drittens, das Produkthaftungsgesetz, das am 9. Dezember 2026 in Kraft tritt. Es überträgt die EU-Richtlinie 2024/2853 und erweitert die Haftung von Software-Herstellern und Software-Betreibern erheblich. Auch hier gilt: ein Anwalt, der ein KI-Werkzeug einsetzt, ist Betreiber im Sinne des Gesetzes.
Die drei Entwicklungen zusammen ergeben einen klaren Befund. Cloud-KI ist für mandatsbezogene Inhalte berufsrechtlich nicht mehr haltbar, jedenfalls nicht auf US-Infrastruktur. Lokale Datenhaltung wird vom Hobby zur Pflicht. Und Air Gap wird vom Sonderfall zur ernst zu prüfenden Standard-Option.
🟡 Praxis Die Drei-Schichten-Logik
Nicht jede Datenklasse einer Kanzlei muss vom Netz getrennt sein. Eine Webseite gehört in die Cloud. Eine Buchhaltung mit Mandantenbezug gehört nicht in eine US-Cloud, aber sie muss auch nicht air-gapped sein. Mandantenakten, die unter besonders hohen Verschwiegenheitspflichten stehen, sind ein dritter Fall.
Schicht 1: Was komplett air-gapped sein muss
In diese Schicht gehören die Daten, deren unautorisierte Offenlegung den Berufsgeheimnis-Schutz nach §203 StGB direkt verletzen würde und deren technische Trennung praktisch möglich ist.
Die KI-gestützte Bearbeitung von Mandantenakten ist der häufigste Fall. Wer einen Schriftsatz mit einem Sprachmodell entwirft, gibt diesem Modell den vollständigen Sachverhalt. Das Modell verarbeitet Mandantendaten. Diese Verarbeitung gehört nicht in die Cloud. Sie gehört auf einen Rechner, der nicht im Netz ist. Ein Fachanwalt für Arbeitsrecht aus Münster, dessen Setup mich zu diesem Beitrag inspiriert hat, arbeitet genau so. Sein KI-Rechner steht physisch getrennt von seinem Arbeitsplatz. Er gibt Mandatsdaten nur an dieses Gerät weiter.
Auch Verschlüsselungs-Schlüssel und Master-Passwörter gehören in diese Schicht. Eine private Schlüssel-Datei, mit der eine Festplatte entschlüsselt wird oder mit der Mandantenkommunikation signiert wird, gehört auf einen air-gapped Rechner. Das ist die Logik einer Hardware-Wallet bei Kryptowährungen, übertragen auf juristische Workflows.
Ein dritter Anwendungsfall sind Diktate vor der Freigabe. Ein Diktat, das noch nicht von einem Anwalt geprüft und freigegeben wurde, enthält oft den ungefilterten Sachverhalt, manchmal mit zusätzlichen Notizen, die im endgültigen Schriftsatz gar nicht erscheinen sollen. Diese Rohfassungen sind besonders sensibel.
Schließlich gehören Mandatsakten zu Strafverfahren, Berufsuntersagungen oder Existenzfragen in die strengste Schicht. Nicht jede Mandantenakte fällt darunter. Aber wenn die Existenz eines Mandanten an einem Verfahren hängt, oder wenn das Verfahren selbst zur Beschlagnahmung der Anwaltskanzlei führen kann, dann darf der Akteninhalt das Netz nicht berühren.
Übersicht Schicht 1 — was air-gapped gehört:
| Datenklasse | Warum |
|---|---|
| KI-Bearbeitung von Mandantenakten | Voller Sachverhalt geht an das Modell |
| Verschlüsselungs-Schlüssel | Kompromittierung wäre irreversibel |
| Diktate vor der Freigabe | Ungefilterter Sachverhalt, oft mit Notizen |
| Strafverfahren, Existenzfragen | Beschlagnahmungs-Risiko, höchster Schutzbedarf |
Schicht 2: Was teilweise air-gapped sein kann
Diese Schicht umfasst Daten, die nicht in der Cloud verarbeitet werden dürfen, aber auch nicht zwingend physisch getrennt werden müssen. Lokale Speicherung in der eigenen Kanzlei reicht.
Allgemeine Mandantenakten in einer lokalen Datenbank sind der häufigste Fall. Eine Akte, die im Tagesgeschäft bearbeitet wird, muss durchsucht werden können, mit dem Sekretariat geteilt werden können und in die elektronische Aktenführung eingebunden sein. Ein air-gapped Setup macht das praktisch unmöglich. Stattdessen reicht eine lokal betriebene Datenbank, die nicht über das öffentliche Internet erreichbar ist, sondern nur über das Kanzlei-LAN.
Auch die Buchhaltung mit Mandantenbezug gehört hierhin. Honorarrechnungen, Aufwand pro Mandat, Auslagen. Das sind Daten, die im Tagesgeschäft bearbeitet werden müssen, aber nicht zwingend für einen Cloud-Buchhalter zugänglich sein müssen.
Ein eigener E-Mail-Server in der Kanzlei-Infrastruktur fällt ebenfalls in diese Schicht. Statt einer Microsoft-365-Mailbox oder eines Google-Workspace-Kontos ein selbst gehosteter Mail-Server, der nur über das Kanzlei-LAN erreichbar ist. Für die Außenkommunikation per beA gibt es ohnehin eine andere Lösung.
Ein eigener Mail-Server schützt aber nur, solange die Mail in der Kanzlei bleibt. Sobald sie nach draußen geht, ist sie auf dem Weg zum Empfänger den üblichen Risiken ausgesetzt. Hier braucht es zusätzlich Ende-zu-Ende-Verschlüsselung, und zwar gestaffelt nach Empfänger und Sensibilität.
Für sensible Inhalte stehen zwei gleichwertige Verfahren zur Verfügung. PGP ist die etablierte Lösung, wenn die Gegenseite ebenfalls PGP nutzt. Das ist vor allem bei Kanzlei-zu-Kanzlei-Kommunikation der Fall, manchmal auch zu Datenschutz-Beauftragten oder technisch versierten Mandanten. Wer PGP einmal eingerichtet hat, verschlüsselt Mails mit einem Klick, signiert sie in einem Schritt und kann auf einen Schlüssel jahrzehntelang vertrauen. Die Hürde ist die Ersteinrichtung, danach ist es Routine.
Symmetrische Verschlüsselung mit verschlüsselten Archivdateien ist die pragmatische Alternative, wenn die Gegenseite kein PGP hat. Eine ZIP- oder 7-Zip-Datei mit AES-256-Verschlüsselung und einem starken Passwort schützt den Inhalt zuverlässig. Entscheidend ist, dass das Passwort über einen getrennten Kanal übermittelt wird, nicht über dieselbe Mail. Ein Anruf, eine SMS, ein Brief auf Papier oder die persönliche Übergabe sind die richtigen Wege.
Welches Verfahren passt, hängt vom Empfänger ab, nicht vom Inhalt. Wenn der Mandant PGP konsequent nutzt, ist PGP der Goldstandard. Wenn nicht, ist die verschlüsselte ZIP-Datei mit getrenntem Passwort der gangbare Weg. Beide Verfahren sind berufsrechtlich tragfähig, solange sie konsequent angewendet werden.
Konsequent ist hier das Schlüsselwort. Das beste Verfahren scheitert, wenn ein Mitarbeiter unter Zeitdruck eine sensible Mail unverschlüsselt verschickt, weil „es heute mal schneller gehen muss“. Eine regelmäßige Schulung aller Mitarbeiter zur Mail-Sicherheit ist deshalb keine Pflichtübung, sondern eine Voraussetzung. Wer die Schulung weglässt, hat eine Architektur ohne Bediener. Das ist wie ein Tresor mit offener Tür.
Schließlich gehören Diktiergeräte mit lokaler Speicherung in diese Klasse. Statt eines Cloud-Diktats ein Diktiergerät, dessen Aufnahmen auf der Kanzlei-Festplatte landen und dort transkribiert werden, ohne dass ein externer Anbieter Zugriff bekommt.
Übersicht Schicht 2 — was lokal im Kanzlei-LAN bleibt:
| Datenklasse | Warum nicht air-gapped, aber auch nicht Cloud |
|---|---|
| Mandanten-Datenbank | Tagesgeschäft, muss vom Sekretariat erreichbar sein |
| Buchhaltung mit Mandatsbezug | Cloud-Buchhalter wäre §203-Risiko |
| Eigener E-Mail-Server | Tägliche Außenkommunikation, eigene Infrastruktur |
| PGP für sensible Mails an Profis | Wenn die Gegenseite ebenfalls PGP nutzt |
| Verschlüsselte ZIP-Anhänge mit AES-256 | Wenn die Gegenseite kein PGP hat, Passwort getrennt |
| Diktiergeräte (lokal) | Aufnahmen bleiben in der Kanzlei |
| Mitarbeiter-Schulung Mail-Sicherheit | Architektur trägt nur mit disziplinierter Bedienung |
Schicht 3: Was nicht air-gapped sein muss
Diese Schicht umfasst Daten, die ohnehin öffentlich sind oder die berufsrechtlich keine besonderen Schutzpflichten auslösen.
Die Webseite der Kanzlei ist per Definition öffentlich. Die Inhalte gehen jeden an, der sie aufruft. Cloud-Hosting ist hier unproblematisch.
Eine allgemeine Recherche zu Rechtsprechung ist keine mandantenbezogene Verarbeitung, solange keine Mandatsbezüge in der Suchanfrage stehen. Wer „Kündigungsfrist bei Tarifvertrag“ sucht, gibt nichts Sensibles preis. Wer „Kündigungsfrist Schneider GmbH“ sucht, schon.
Auch öffentliche Kommunikation und Newsletter fallen in diese Schicht. Briefe an potenzielle Mandanten, Marketing, soziale Medien. Diese Daten sind nicht mandantenbezogen.
Schließlich gehört die Buchhaltung ohne Mandantenbezug hierhin. Die Mietzahlungen der Kanzlei, die Stromrechnung, die Gehälter der Mitarbeiter. Das sind interne Verwaltungsdaten, keine Mandatsdaten.
Übersicht Schicht 3 — was in der Cloud bleiben darf:
| Datenklasse | Warum berufsrechtlich unproblematisch |
|---|---|
| Webseite der Kanzlei | öffentlich, kein Mandatsbezug |
| Allgemeine Recherche (ohne Mandatsbezug) | Suchanfragen ohne Mandantennamen |
| Newsletter, Marketing, soziale Medien | öffentliche Außenkommunikation |
| Verwaltungsdaten ohne Mandatsbezug | Miete, Gehälter, Stromrechnung |
Die Praxis-Frage: Wie ordne ich meine Daten ein?
Die Schichten-Logik funktioniert nur, wenn die Zuordnung jeder Datenklasse sauber gemacht wird. Eine pauschale Aussage „alles air-gapped“ oder „alles in die Cloud“ trägt nicht. Was hilft, ist eine Inventur. Welche Datenklassen gibt es in der Kanzlei? Wer arbeitet damit? Welche Schutzpflicht löst die Klasse aus?
Eine ehrliche Inventur dauert in einer durchschnittlichen Anwaltskanzlei einen halben Tag, wenn man methodisch vorgeht. Sie ist die Grundlage jeder Architektur-Entscheidung. Ohne diese Inventur entscheidet man nicht, sondern man tappt.
GRAFIK 3: Vergleichstabelle Cloud-KI / Lokale KI / Air Gap-KI
🔵 Tiefe — Die juristische Begründung
Wer die Drei-Schichten-Logik nur als technische Empfehlung versteht, übersieht die eigentliche Pointe. Sie ist berufsrechtlich begründet.
§203 StGB als Strafnorm
§203 StGB stellt die Verletzung von Privatgeheimnissen unter Strafe. Wer als Anwalt ein Mandantengeheimnis unbefugt offenbart, kann mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft werden. Bei besonders schweren Fällen, etwa Bereicherungsabsicht oder Schädigungsabsicht, sind es bis zu zwei Jahre.
Die entscheidende Frage ist, wann eine Offenbarung „unbefugt“ ist. Seit 2017 erlaubt §203 Absatz 4 StGB die Einbindung externer Dienstleister, etwa für IT-Wartung. Diese Erlaubnis steht aber unter Bedingungen, die §43e BRAO konkretisiert: bei ausländischen Dienstleistern muss ein vergleichbares Schutzniveau bestehen und die rechtliche Durchsetzbarkeit gewahrt sein.
Genau hier setzt die Cloud-Act-Problematik an. Wenn ein US-Anbieter zur Herausgabe an US-Behörden verpflichtet ist, unabhängig vom Speicherort, ist die rechtliche Durchsetzbarkeit der vertraglichen Schutzvereinbarung nicht mehr gewahrt. Eine Klausel, die in Konflikt mit zwingendem US-Recht steht, ist juristisch eine Absichtserklärung, keine Schutzgarantie.
Die EuGH-Dogmatik: ex ante statt ex post
Der EuGH hat in seinem Beschluss vom 12. Mai 2026 in der Sache C-797/23 (Meta gegen AGCOM) einen dogmatischen Punkt gemacht, der weit über den eigentlichen Streit hinausreicht. Es ging um die Frage, ob ein nationaler Gesetzgeber das Presse-Leistungsschutzrecht durch nachträgliche Entschädigungsansprüche ersetzen kann oder ob er die Ausschließlichkeitsrecht-Logik beibehalten muss.
Die Antwort des EuGH war klar: Schutzrechte aus europäischer Sekundärgesetzgebung sind vorbeugend. Sie begrenzen die Handlungsmenge, statt das Verhalten nachträglich zu sanktionieren. Wer die Möglichkeit der Verletzung technisch zulässt und nur ex post repariert, leistet keinen strukturellen Schutz.
Diese Logik überträgt sich auf das Berufsrecht. §203 StGB ist eine vorbeugende Schutznorm. Sie verlangt, dass die Verletzung nicht eintritt, nicht dass sie nachträglich kompensiert wird. Wer als Anwalt eine technische Architektur wählt, die staatlichen Zugriff fremder Mächte zulässt, leistet dem Mandanten keinen strukturellen Schutz. Eine spätere Schadensersatz-Klage gegen den Cloud-Anbieter ist kein Substitut für die unterlassene Architektur-Entscheidung.
Die Carniaux-Aussage als eidesstattlicher Beleg
Antoine Carniaux, Vertreter von Microsoft France, hat am 10. Juni 2025 vor dem französischen Senat unter Eid ausgesagt, dass Microsoft als US-Konzern verpflichtet ist, Daten an US-Behörden herauszugeben, auch wenn diese Daten auf europäischen Servern liegen. Die Datenübergabe erfolgt unter einer Gag Order, also unter strikter Geheimhaltung gegenüber dem Kunden. Weder eine Auftragsverarbeitungs-Vereinbarung noch die EU Data Boundaries ändern an dieser Pflicht etwas.
Dieser Punkt ist deshalb so wichtig, weil er nicht aus einer kritischen Außenperspektive stammt, sondern vom Anbieter selbst, unter Eid, in einer parlamentarischen Anhörung. Wer die Cloud-Act-Reichweite weiter bestreitet, bestreitet eine eidesstattliche Aussage des betroffenen Unternehmens.
Das Produkthaftungsgesetz ab Dezember 2026
Mit dem neuen Produkthaftungsgesetz, das die EU-Richtlinie 2024/2853 umsetzt und am 9. Dezember 2026 in Kraft tritt, wird die Haftung für Software-Schäden erheblich erweitert. Auch Software-Betreiber können nach dem Gesetz haften, nicht nur Hersteller. Eine Anwaltskanzlei, die ein KI-Werkzeug einsetzt, ist im Sinne des Gesetzes Betreiberin und damit potenziell haftungspflichtig, wenn das Werkzeug einen Schaden verursacht.
Die Auswirkung auf die Architektur-Entscheidung ist erheblich. Wer ein Werkzeug einsetzt, dessen Datenfluss er nicht kontrolliert, übernimmt eine Haftung für etwas, was er nicht steuert. Air Gap ist in dieser Logik nicht nur eine Schutzmaßnahme für den Mandanten, sondern auch eine Haftungs-Reduzierung für die Kanzlei.
Aus der Praxis
Montag, 16:30 Uhr. Anwältin Monika R. sitzt in ihrer Kanzlei in Düsseldorf und hat einen IT-Berater zu Gast.
Monika: „Sie wollen mir jetzt erzählen, ich brauche einen Computer im Keller? Ich bin Anwältin, kein Geheimagent.“
Berater: „Nein. Sie brauchen drei Rechner mit unterschiedlichen Aufgaben. Einen im Keller. Einen in der Kanzlei am LAN. Einen ganz normal mit Internet.“
Monika: „Drei? Das ist doch absurd.“
Berater: „Schauen wir es uns an. Was machen Sie morgen früh als Erstes?“
Monika: „E-Mails lesen.“
Berater: „Wo liegen die?“
Monika: „Bei einem deutschen Anbieter.“
Berater: „Bei einem deutschen Anbieter, dessen Cloud-Infrastruktur möglicherweise auf AWS läuft. Aber gut, nehmen wir an, das ist sauber. Was kommt danach?“
Monika: „Ich diktiere einen Schriftsatz für die Müller-Sache.“
Berater: „Wohin?“
Monika: „In ein Cloud-Diktat-Tool, das mir die Transkription gleich macht.“
Stille.
Monika: „Das ist das Problem, oder?“
Berater: „Das ist eines der Probleme. Sie geben einem Cloud-Anbieter den vollen Sachverhalt eines laufenden Verfahrens. Wenn der Anbieter zur Herausgabe an eine ausländische Behörde verpflichtet wird, haben Sie keine Kontrolle darüber, ob das passiert oder nicht. Und Sie würden es auch nicht erfahren, wegen der Gag Order.“
Monika: „Aber das Tool ist DSGVO-konform.“
Berater: „DSGVO-Konformität ist ein Vertrag. Eine Klausel. Was nützt eine Klausel, wenn der Anbieter zwingenden ausländischen Behörden-Anweisungen folgen muss?“
Längere Pause.
Monika: „Was wäre die Alternative?“
Berater: „Ein lokales Diktat-System auf einem Rechner, der nicht im Netz ist. Aufnahmen kommen per Kabel rein, Transkription läuft lokal mit einem kleinen Sprachmodell, das Ergebnis bleibt auf dem Gerät. Erst wenn Sie den Schriftsatz freigegeben haben, kommt er per gesichertem Weg an den Adressaten.“
Monika: „Und wo stelle ich diesen Rechner hin?“
Berater: „Idealerweise in einen abschließbaren Raum. Keller, Aktenraum, Tresor-Raum. Hauptsache, niemand hat unbefugten Zugang. Und keine Netzwerk-Verbindung.“
Monika: „Klingt nach einem Rückschritt in die achtziger Jahre.“
Berater: „Klingt es. Ist es aber nicht. Wir nutzen aktuelle KI-Modelle, moderne Hardware. Nur eben mit der Trennung, die das Berufsrecht heute verlangt. Im Keller-Rechner steckt mehr Rechenleistung als in jedem Cloud-Diktiergerät der späten 2010er Jahre.“
Monika: „Und was kostet mich das?“
Berater: „Ein vernünftiger Air Gap-Rechner für Ihre Größenordnung kostet zwischen zweitausend und viertausend Euro einmalig. Die KI-Modelle sind kostenfrei. Die Einrichtung dauert einen Tag. Wenn Sie das mit den laufenden Cloud-Kosten Ihres aktuellen Diktiergeräts vergleichen und auf drei Jahre rechnen, sind Sie spätestens nach achtzehn Monaten günstiger.“
Monika: „Und der Mailserver?“
Berater: „Das ist die zweite Schicht. Lokal, aber im LAN. Sie müssen ja Mails empfangen und versenden. Da reicht ein eigener Server in der Kanzlei. Er ist nicht air-gapped, aber er ist auch nicht in einer Cloud, deren Anbieter Ihre Daten herausgeben muss, wenn jemand anfragt.“
Monika: „Drei Schichten.“
Berater: „Drei Schichten. Webseite und Recherche im Internet. Kanzlei-Verwaltung und Mail im lokalen Netz. Mandatsbezogene KI-Arbeit auf einem Rechner ohne Netz. Das ist die Architektur, die das heutige Berufsrecht verlangt.“
Monika: „Verlangt das nicht erst seit dem EuGH-Urteil im Mai?“
Berater: „Das EuGH-Urteil hat eine Logik formalisiert, die im §203 StGB schon immer drinsteckte. Vorher konnte man sich um die Frage drücken. Jetzt nicht mehr.“
Häufige Fragen
1. Wie kommen Daten überhaupt auf einen air-gapped Rechner, ohne das Sicherheitsmodell zu zerstören?
Über kontrollierte Datenträger. Ein USB-Stick, der ausschließlich für den Transfer zwischen einem definierten Quellsystem und dem Air Gap-Rechner benutzt wird, der vor jedem Transfer geprüft wird und der niemals an ein unbekanntes System angeschlossen wird. Das ist der schwächste Punkt einer Air Gap-Architektur, und er muss diszipliniert behandelt werden. Eine alternative Lösung ist eine sogenannte Datendiode, ein Gerät, das Daten physikalisch nur in eine Richtung fließen lässt. Für die meisten Kanzleien ist das Overkill, für besonders sensible Setups eine Option.
2. Was passiert mit Updates und Sicherheits-Patches?
Das ist der schwierigste Punkt. Ein air-gapped Rechner bekommt keine automatischen Updates. Entweder bleibt das System auf einem festen Stand und akkumuliert Schwachstellen, oder es gibt einen manuellen Update-Prozess: Patches werden auf einem vernetzten Rechner heruntergeladen, kryptographisch verifiziert, auf einen kontrollierten USB-Stick geschrieben und manuell eingespielt. Das ist Aufwand. Aber es ist beherrschbar, wenn das Setup von Anfang an so geplant ist. Ein KI-Modell muss übrigens nicht ständig aktualisiert werden. Ein lokal installiertes Sprachmodell funktioniert über Monate hinweg ohne Patches, weil es keine Netzwerk-Angriffsfläche bietet.
3. Kann ich KI-Modelle auf einem air-gapped Rechner aktuell halten?
Ja, aber selektiv. Neue Modell-Versionen werden manuell überspielt, etwa alle drei bis sechs Monate. Zwischen den Updates bleibt das Modell stabil und funktionsfähig. Wer immer das neueste Modell haben möchte, ist mit Air Gap nicht gut bedient. Wer ein zuverlässiges Werkzeug für Mandatsarbeit braucht, das morgen genauso funktioniert wie heute, schon.
4. Was kostet so ein Setup wirklich?
Eine ehrliche Spanne: zweitausend bis fünftausend Euro einmalig für die Hardware. Dazu ein bis zwei Tage Einrichtung. Die Software, also Betriebssystem und KI-Modelle, ist in der Regel kostenfrei. Schulung der Mitarbeiter kostet weitere ein bis zwei Tage. Insgesamt ein Projekt im niedrigen vierstelligen Bereich, das sich in den meisten Kanzleien innerhalb von zwei Jahren amortisiert, wenn man die Cloud-Kosten der bisherigen Lösungen gegenrechnet.
5. Wie groß muss die Kanzlei sein, damit sich das lohnt?
Es gibt keine Mindestgröße. Eine Soloanwältin, die ein einziges hochsensibles Mandat bearbeitet, kann den Air Gap-Aufwand rechtfertigen. Eine Kanzlei mit zwanzig Anwälten, die nur Verkehrsrecht macht, vielleicht weniger. Die Frage ist nicht die Größe, sondern die Datenklasse. Wer mit Berufsgeheimnissen umgeht, muss die Architektur dem Schutzbedürfnis anpassen.
6. Wie verträgt sich Air Gap mit beA und elektronischer Akte?
Sehr gut. beA und elektronische Akte sind Kommunikationskanäle nach außen, sie sind nicht für die interne Bearbeitung gedacht. Ein air-gapped Rechner bearbeitet die Inhalte, ein vernetzter Rechner sendet die fertigen Dokumente über beA. Der Transfer dazwischen läuft über einen kontrollierten Datenträger oder einen vorgegebenen Workflow. Das ist nicht komplizierter als das, was bei Datenschutzbeauftragten und Berufsgeheimnisträgern in anderen Branchen schon lange Praxis ist.
7. Wie kommuniziere ich mit Mandanten verschlüsselt, wenn sie selbst keine Technik-Erfahrung haben?
Mit pragmatischen Mitteln. Wenn der Mandant PGP kennt und nutzt, ist das der einfachste Weg. Wenn nicht, schicken Sie sensible Inhalte als verschlüsselte ZIP- oder 7-Zip-Datei und übermitteln das Passwort über einen separaten Kanal: per Anruf, per SMS, per Brief oder bei persönlicher Übergabe. Niemals beides in derselben Mail. Wichtig ist die Konsequenz im Alltag: ein einziger Verstoß gegen diese Regel hebt den Schutz auf. Deshalb ist die regelmäßige Schulung aller Mitarbeiter zur Mail-Sicherheit kein Luxus, sondern Voraussetzung. Wer eine PGP-Einrichtung hat und sie nicht nutzt, hat sie nicht.
8. Die unbequeme Frage: Was kann Air Gap nicht, und wann ist es übertrieben?
Air Gap schützt nicht gegen physischen Diebstahl, nicht gegen Brand, nicht gegen Sozial-Engineering, nicht gegen unaufmerksame Mitarbeiter. Es ist auch übertrieben für die meisten alltäglichen Datenklassen. Wer seine Webseite air-gapped halten will, hat die Logik nicht verstanden. Wer seine Mandanten-Buchhaltung in einen Tresor-Rechner verbannt, macht den Arbeitsalltag unnötig schwer. Air Gap ist ein Werkzeug für die höchste Schutzklasse, nicht für alles. Wer es überall einsetzt, schafft Sicherheits-Theater statt Sicherheit. Wer es gar nicht einsetzt, ignoriert eine konkrete Berufsrechts-Frage.
Ihre Checkliste
Heute (unter 30 Minuten):
- [ ] Welche Datenklassen verarbeiten Sie? Erstellen Sie eine grobe Liste, vom hochsensiblen Strafmandat bis zum öffentlichen Newsletter.
- [ ] Welche Cloud-Dienste nutzen Sie aktuell? Notieren Sie Anbieter und Datenklasse, die dort verarbeitet wird.
In den nächsten 30 Tagen:
- [ ] Inventur der Datenklassen, mit Zuordnung zu den drei Schichten
- [ ] Gespräch mit Ihrem Datenschutzbeauftragten oder dem externen Datenschutz-Berater
- [ ] Prüfung, ob Ihr aktueller IT-Dienstleister Erfahrung mit Air Gap-Setups hat
Langfristig (3 bis 12 Monate):
- [ ] Investitions-Planung für die Schicht-1-Hardware
- [ ] Schulung der Mitarbeiter zum disziplinierten Umgang mit USB-Transfers
- [ ] Schulung der Mitarbeiter zur Mail-Verschlüsselung (PGP und ZIP-Verfahren)
- [ ] Migration der bisherigen Cloud-KI-Nutzung auf das lokale Setup
Weiterführende Ressourcen
Offizielle Quellen:
| Ressource | Inhalt |
|---|---|
| §203 StGB Volltext | gesetze-im-internet.de/stgb/__203.html |
| §43e BRAO Volltext | gesetze-im-internet.de/brao/__43e.html |
| EuGH-Beschluss C-797/23 | curia.europa.eu (Volltext) |
| Carniaux-Anhörung Senat | senat.fr (Protokoll vom 10. Juni 2025) |
| DAV-Stellungnahme zu KI | anwaltverein.de |
| BRAK-Stellungnahme zu Cloud | brak.de |
Anwaltliche Einordnungen auf LinkedIn:
- Dr. jur. Magnus Bergmann, Fachanwalt für Arbeitsrecht, hat in seinem Beitrag vom 14. Mai 2026 die EuGH-Dogmatik aus berufsrechtlicher Sicht aufbereitet. Lesenswert für eine juristisch tiefere Auseinandersetzung mit der Frage, was strukturelle Berufsgeheimnis-Sicherheit heute bedeutet.
Verwandte Beiträge auf fleet-data.de:
| Thema | Link |
|---|---|
| Das Betriebssystem, das aus einem Bruch entstand (GrapheneOS) | fleet-data.de/das-betriebssystem-das-aus-einem-bruch-entstand |
| §203 StGB und Cloud-KI: Was Anwälte jetzt wissen müssen | (in Vorbereitung) |
Fazit
Drei Erkenntnisse zum Mitnehmen:
Erstens, Air Gap ist kein Hobby und keine Verschwörungstheorie. Es ist die stärkste Form der Datentrennung, die ein ziviler Nutzer technisch erreichen kann, und es ist für bestimmte Datenklassen die einzige Architektur, die §203 StGB nach der EuGH-Dogmatik des Mai 2026 strukturell schützt.
Zweitens, Air Gap ist eine Schichten-Frage, kein Alles-oder-Nichts. Nicht jede Datenklasse muss vom Netz getrennt sein. Die meisten Anwaltskanzleien brauchen genau einen air-gapped Rechner, nicht zehn. Aber genau einen brauchen sie, wenn sie KI für mandatsbezogene Arbeit nutzen wollen.
Drittens, Air Gap löst nicht alle Probleme. Es schützt nicht gegen physische Bedrohungen, nicht gegen Sozial-Engineering, nicht gegen unaufmerksame Mitarbeiter. Wer Air Gap als Allheilmittel verkauft, hat es selbst nicht verstanden. Wer es als spezifisches Werkzeug für die höchste Schutzklasse einsetzt, hat die richtige Architektur-Entscheidung getroffen.
Annähernd hundert Prozent Sicherheit bekommt ihr, wenn ihr euren Computer in den Keller stellt. Nicht hundert. Aber näher dran als alles andere. Für die richtigen Datenklassen ist das genau die Antwort, die das Berufsrecht von Anwältinnen und Anwälten heute verlangt.
Haben Sie Fragen zu Ihrem konkreten Fall?
Unser Beratungsgespräch ist kostenfrei und unverbindlich. Wir beantworten Ihre Fragen, auch wenn am Ende keine Zusammenarbeit entsteht.
📧 Franz-Martin.Herstell@fleet-data.de
Franz-Martin ist Mitgründer von Fleet Daten & Systems Consulting und seit über vier Jahrzehnten in der Software-Entwicklung. Er schreibt auf fleet-data.de über Sicherheit, Architektur und die Frage, was zivile Werkzeuge können müssen, um zu halten. Kontakt: kontakt@fleet-data.de
© 2026 Fleet Daten & Systems Consulting | fleet-data.de
Dieser Beitrag stellt keine Rechts- oder Steuerberatung dar. Bei konkreten Rechtsfragen wenden Sie sich an einen auf Datenschutz- und Berufsrecht spezialisierten Anwalt.