Die Bundesnotarkammer hat Anfang Februar mit dem Rundschreiben Nr. 1/2026 erstmals einen umfassenden Rahmen für die Cloud-Nutzung im Notariat geschaffen. Cloud ist grundsätzlich erlaubt – aber nur unter strengen Bedingungen. Und bei der Anbieterwahl rät die BNotK bemerkenswert direkt zu europäischen Lösungen.
Das nennt man wohl "New Normal": Im Mai 2025 wurde der Microsoft-Account des Chefanklägers am Internationalen Strafgerichtshof in Den Haag gesperrt – infolge von US-Sanktionen unter Präsident Trump. Der IStGH hat daraufhin den kompletten Umstieg von Microsoft auf die europäische Open-Source-Lösung openDesk eingeleitet. Die WirtschaftsWoche titelte treffend: „Microsoft steckt in der Trump-Falle".
Ein einzelner Vorfall – aber einer mit Signalwirkung. Was einer internationalen Justizbehörde passiert, kann im Prinzip jedem widerfahren, der seine Infrastruktur bei einem US-Anbieter betreibt.
Vor diesem Hintergrund liest sich das Rundschreiben Nr. 1/2026 der Bundesnotarkammer wie eine gezielte Antwort auf eine veränderte Risikolage. Es richtet sich an alle 21 Notarkammern und damit mittelbar an knapp 7.000 Notarinnen und Notare in ganz Deutschland.
Die Bundesnotarkammer (BNotK) stellt klar: Das Berufsrecht steht einer Cloud-Nutzung zwar nicht grundsätzlich entgegen. Aber: Es gibt enge Grenzen.
Akten und Verzeichnisse gehören in die Geschäftsstelle
Elektronische Akten und Verzeichnisse dürfen nach § 35 Abs. 4 BNotO nur in der Geschäftsstelle oder im Elektronischen Notaraktenspeicher der BNotK geführt werden. Eine Auslagerung in eine Cloud ist hier nicht zulässig.
Cloud-Daten gelten als „Hilfsmittel"
Alles andere – Entwurfsdateien, Arbeitskopien, Sicherungskopien – fällt unter den Begriff Hilfsmittel im Sinne von § 35 Abs. 2 Satz 2 BNotO. Für diese ist eine Cloud-Speicherung erlaubt, sofern Datenschutz und notarielle Verschwiegenheit gewahrt bleiben.
Mindestens wöchentlich lokal sichern
Die BNotK formuliert eine klare Pflicht: In der Cloud liegende Hilfsmittel müssen mindestens einmal pro Woche auf einem Server oder Speichermedium in der Geschäftsstelle gesichert werden. Der Hintergrund: Auch bei komplettem Ausfall der Cloud-Dienste muss der Betrieb weiterlaufen können.
Verschwiegenheit und Datenschutz als Voraussetzung
Der Zugang zu verschwiegenheitspflichtigen Informationen darf nur gewährt werden, soweit das für die jeweilige Dienstleistung erforderlich ist (§ 26a BNotO). Hinzu kommen: eine Verschwiegenheitsvereinbarung in Textform, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, technische und organisatorische Maßnahmen nach Art. 32 DSGVO – und gegebenenfalls eine Datenschutz-Folgenabschätzung.
Die wichtigste Passage des Rundschreibens betrifft die Anbieterwahl. Die BNotK formuliert hier ungewöhnlich deutlich: Bei der Auswahl von Cloud-Lösungen sei eine „systematische und regelmäßig wiederkehrende Prüfung europäischer Angebote vorzunehmen".
Und: Sofern europäische Anbieter die Anforderungen erfüllen, sollten sie – „insbesondere in sensiblen Anwendungsbereichen" – gegenüber außereuropäischen Angeboten bevorzugt werden.
Dass die BNotK so klar formuliert, hat Gründe: Im Rundschreiben werden die Risiken von US-Cloud-Anbietern detailliert aufgeschlüsselt – vom Cloud Act über die fragile Rechtsgrundlage des EU-US Data Privacy Frameworks bis hin zu konkreten Fällen, in denen US-Dienste für europäische Nutzer gesperrt wurden.
Der US Cloud Act aus dem Jahr 2018 verpflichtet US-Dienstleister, bei einem gültigen Gerichtsbeschluss Daten an US-Behörden herauszugeben – auch wenn die Server außerhalb der USA stehen. Das betrifft ausdrücklich auch Daten, die von AWS, Microsoft oder Google in deutschen Rechenzentren gehostet werden.
Entscheidend ist dabei nicht der physische Speicherort, sondern der juristische Sitz des Anbieters. Ein deutsches Rechenzentrum allein schützt also nicht vor einem US-amerikanischen Herausgabeanspruch. Diesen Zusammenhang hat auch ein Gutachten der Universität zu Köln im Auftrag des BMI bestätigt.
Für Notariate ist das besonders heikel. Hier geht es nicht um Marketing-Daten oder Produktkataloge. Es geht um Testamente, Erbverträge, Grundstückskaufverträge, Gesellschaftsgründungen, Vorsorgevollmachten – Informationen, die unter die strengste Form beruflicher Verschwiegenheit fallen.
Ist das nicht übertrieben? Was heißt das genau in der Praxis? Drei Szenarien verdeutlichen die Tragweite:
1. Datenzugriff durch US-Behörden. Ein Notariat nutzt Microsoft 365 für die Entwurfsbearbeitung. Ein US-Gericht erlässt einen Herausgabebeschluss nach dem CLOUD Act. Microsoft wäre verpflichtet, dem nachzukommen – ohne dass das Notariat oder die betroffenen Mandanten davon erfahren müssten. Die notarielle Verschwiegenheitspflicht nach § 18 Abs. 1 BNotO wäre faktisch unterlaufen.
2. Dienstsperre durch Sanktionen. Was beim IStGH passiert ist, kann grundsätzlich jedem widerfahren, der auf US-Infrastruktur setzt. Die BNotK verweist im Rundschreiben auf Fälle, in denen „temporär Services von Drittstaatenanbietern in Europa – auch kurzfristig – gesperrt worden" sind. Für ein Notariat bedeutet ein solcher Ausfall: keine Entwurfsbearbeitung, kein Zugriff auf Arbeitskopien, unter Umständen kompletter Betriebsstillstand (hier mehr zu diesem sogenannten „Kill-Switch-Risiko").
3. Wegfall der Rechtsgrundlage. Das aktuelle EU-US Data Privacy Framework (DPF) ermöglicht eine Datenübermittlung in die USA. Aber: Die beiden Vorgänger – Safe Harbour und Privacy Shield – wurden vom EuGH jeweils für unwirksam erklärt. Das Europäische Gericht hat das DPF zwar im September 2025 bestätigt, gleichzeitig aber betont, dass die Gleichwertigkeit des Datenschutzniveaus fortlaufend geprüft werden müsse.
Fällt auch das DPF, wäre jede laufende Datenübermittlung in die USA von einem Tag auf den anderen ohne Rechtsgrundlage. Auch das Portal datenschutz-notizen.de hat diese Unsicherheit kürzlich ausführlich analysiert.
Dem Thema Microsoft 365 widmet die BNotK einen eigenen Abschnitt – ein Zeichen dafür, wie verbreitet die Lösung in Notariaten ist.
Die Kernaussage: Ein berufsrechtskonformer Einsatz von Microsoft 365 ist nach aktuellem Stand grundsätzlich möglich. Allerdings nur, wenn die „Zusatzvereinbarung für Berufsgeheimnisträger" mit Microsoft abgeschlossen wird, die Vertragsbedingungen individuell geprüft werden und die Konfiguration angepasst wird. Denn die Standardeinstellungen von Microsoft 365 sind laut BNotK „für eine maximale Funktionalität optimiert, aber nicht auf vertrauliches Arbeiten ausgerichtet".
Dazu kommt ein Daueraufwand: Jeder Patch von Microsoft kann Konfigurationsänderungen erfordern oder den Umgang mit Daten verändern – ohne dass der Nutzer Einfluss darauf hätte. Verschiedene Datenschutzbeauftragte auf Bundes-, Landes- und EU-Ebene sehen weiterhin strukturelle Probleme bei Microsoft 365, besonders bei Transparenz und Datentransfer in die USA wie der der hessische Datenschutzbeauftragte im November 2025 erläutert hat.
Die BNotK stellt es Notarinnen und Notaren frei, abzuwägen: Lohnt sich der Aufwand – oder reicht eine klassische Office-Installation, die lokal betrieben wird und keine US-Cloud-Anbindung benötigt?
Ein Aspekt, den das Rundschreiben nicht explizit behandelt, der aber eng damit zusammenhängt: der wachsende Einsatz von KI-Tools im Kanzleialltag. Immer mehr Anbieter werben damit, ihre KI-Lösungen seien „EU-gehostet" und damit DSGVO-konform – auch für Berufsgeheimnisträger.
Schaut man genauer hin, laufen die meisten dieser Anwendungen auf Azure oder AWS – also auf Infrastruktur von Microsoft und Amazon. Ein europäischer Serverstandort ändert also auch hier nichts daran, dass der Betreiber dem US Cloud Act unterliegt. Das Rundschreiben der BNotK sieht genau das kritisch.
Heißt das, Notariate sollten auf KI verzichten? Im Gegenteil. Die Werkzeuge sind zu leistungsfähig, um sie zu ignorieren. Aber es braucht Lösungen, die dafür sorgen, dass keine Mandantendaten bei einem US-Anbieter landen. Ansätze wie Datenanonymisierung vor der KI-Verarbeitung setzen genau hier an: Sensible Informationen werden entfernt, bevor sie eine KI-Schnittstelle erreichen. Danach kann mit jedem Modell gearbeitet werden – ohne dass Verschwiegenheitspflichten verletzt werden.
Ein häufiges Gegenargument: Der Wechsel von etablierten US-Diensten zu europäischen Alternativen sei zu aufwändig. Das trifft so pauschal nicht zu.
Für die reine Cloud-Speicherung – Ablegen, Teilen und gemeinsames Bearbeiten von Dateien – ist ein Umstieg vergleichsweise einfach. Europäische Anbieter mit BSI C5-Testat bieten verschlüsselten Speicher mit Rechenzentren und Firmensitz in Deutschland, ohne technische oder rechtliche Zugriffsmöglichkeiten aus Drittstaaten.
Auch Microsoft hat kürzlich angekündigt, den Verkauf eigenständiger SharePoint- und OneDrive-Lizenzen einzustellen – was den Wechsel für viele Organisationen ohnehin noch einmal attraktiver macht.
Aufwändiger wird es bei vollintegrierten Systemen wie Microsoft 365, wo E-Mail, Kalender, Zusammenarbeit und Dokumentenbearbeitung verzahnt sind. Hier empfiehlt sich ein schrittweiser Ansatz: Zunächst die sensiblen Daten – Entwürfe, Mandanteninformationen, vertrauliche Kommunikation – in eine europäische Cloud verlagern. Parallel prüfen, welche Komponenten des US-Stacks sich durch europäische Alternativen ersetzen lassen.
Das Rundschreiben selbst empfiehlt Notarinnen und Notaren, bei der Auswahl „Rücksprache mit ihrem IT-Dienstleister und Notarsoftwareanbieter" zu halten.
Das Rundschreiben Nr. 1/2026 ist mehr als eine juristische Orientierungshilfe. Es ist ein klares Signal an rund 7.000 Notariate in Deutschland: Prüfen Sie Ihre Cloud-Strategie. Prüfen Sie Ihre Anbieter. Und ziehen Sie europäische Lösungen vor, wo immer es möglich ist.
Die Begründung liefert die BNotK gleich mit: der US Cloud Act, die unsichere Zukunft des EU-US Data Privacy Frameworks, das Risiko temporärer Dienstsperren – und die schlichte Tatsache, dass Notariatsunterlagen zu den sensibelsten Daten gehören, die es gibt. Oft sind europäische Alternativen sogar wirtschaftlich attraktiver.
Wer heute auf US-Cloud-Dienste setzt, ohne die im Rundschreiben beschriebenen Vorkehrungen getroffen zu haben, bewegt sich berufs- und datenschutzrechtlich auf dünnem Eis. Und wer meint, das Thema betreffe nur Großkanzleien: Die Anforderungen gelten für jedes einzelne Notariat – unabhängig von Größe und Standort.