Exchange-Migration für Steuerkanzleien: Der pragmatische Leitfaden 2026

Es ist Montag, 7:42 Uhr. Die erste Frist läuft um 14 Uhr. Der IT-Dienstleister meldet sich: Das Windows-Update am Wochenende ist schiefgelaufen, der Exchange-Server im Keller braucht einen Reboot. Normalerweise Routine — aber an diesem Montag geht er nicht wieder hoch. 23 Mitarbeiter sitzen vor leeren Outlooks. Die ersten Mandantenanrufe laufen übers Sekretariat rein. Und irgendwo in Redmond denkt niemand mehr daran, für diesen Server einen Patch zu bauen.

So sieht das Problem aus, das jede deutsche Steuerkanzlei mit eigenem Exchange-Server spätestens 2026 operativ auf dem Tisch hat. Der Unterschied zwischen den Kanzleien, die es überstehen, und denen, die es teuer bezahlen, ist nicht die Größe. Sondern der Zeitpunkt, zu dem sie handeln.

Das konkrete Deadline-Problem — und warum 95 % der Kanzleien es verdrängen

Microsoft hat die Spielregeln bereits geändert. Die wenigsten Kanzlei-Partner haben es mitbekommen, weil die Mitteilung nicht im Posteingang landete, sondern in einem IT-Newsletter, den niemand liest.

Seit dem 14. Oktober 2025 erhält Ihr Exchange 2016- oder 2019-Server keine Sicherheits-Updates mehr. Microsoft veröffentlicht zwar ein Nachfolge-Produkt (Exchange Subscription Edition, SE) — das setzt aber als Prerequisite mindestens Exchange 2019 CU15 voraus, kostet im Abonnement und ist für 95 % der Kanzleien mit 10–100 Mitarbeitern weder technisch noch wirtschaftlich die richtige Antwort. Die richtige Antwort heißt: in die Cloud.

Ein Exchange-Server ohne Security-Updates ist keine Infrastruktur mehr. Er ist eine Haftungsquelle, die bis zum nächsten Audit leise vor sich hin altert.

Warum das Kanzlei-kritisch ist — und kein IT-Problem

Kanzlei-Partner denken bei „Exchange-Server" automatisch: IT-Dienstleister soll sich drum kümmern. Das ist der teuerste Denkfehler der nächsten 24 Monate. Denn was hier auf dem Spiel steht, landet nicht beim IT-Dienstleister, sondern bei Ihnen persönlich.

§203 StGB hängt an Ihrer Infrastruktur

Die Verschwiegenheitspflicht nach § 203 StGB und die Sorgfaltspflicht nach § 57 StBerG beziehen sich nicht abstrakt auf Daten — sie beziehen sich auf jedes technische Medium, in dem Mandantengeheimnisse verarbeitet werden. Ein Exchange-Server, der keine Sicherheits-Updates mehr bekommt, ist ein technisches Medium mit bekannten, nicht mehr geschlossenen Schwachstellen. Im Schadensfall fragt niemand mehr, ob die Kanzlei „guten Willens" gehandelt hat. Die Frage ist: Gab es einen zumutbaren sichereren Weg? Den gibt es. Er heißt Migration.

Berufshaftpflicht-Versicherer lesen die CVE-Datenbank

Die großen Berufshaftpflicht-Versicherer haben in den letzten 24 Monaten ihre Fragebögen angepasst. Wer heute eine Police erneuert, muss angeben, welche Infrastruktur im Einsatz ist. Ein nicht mehr aktualisierter Exchange-Server ist bei vielen Anbietern inzwischen ein Ausschlussgrund für Cyber-Schadensleistungen — nicht weil die Versicherer bösartig sind, sondern weil das Risiko mathematisch nicht mehr tragbar ist.

Nachwuchs und Mandanten erwarten Cloud-First

Die Steuerberatungsbranche steht vor einer demografischen Klippe: 45,1 % der Berufsträger sind über 50 Jahre alt, nur 2,3 % unter 30. Wer junge Mitarbeiter gewinnen will, konkurriert nicht mehr mit der Kanzlei nebenan, sondern mit Tech-Unternehmen, die seit zehn Jahren cloud-nativ arbeiten. Jede Steuerfachangestellte unter 30 fragt im Bewerbungsgespräch nach Homeoffice, Microsoft 365 und mobilen Workflows. Wer noch einen Exchange-Server im Keller betreibt, ist für dieses Gespräch disqualifiziert, bevor es begonnen hat.

„Wir fahren ihn noch zwei Jahre weiter" — die teuerste Option

Die häufigste Reaktion auf ein End-of-Support-Datum ist: Verdrängung. „Läuft doch noch." Statistisch funktioniert das — bis zum ersten Vorfall. Und genau dieser Vorfall ist es, der aus einer 15.000-€-Migration ein 150.000-€-Incident-Response-Projekt macht.

Wie dramatisch sich das bei unter-digitalisierten Kanzleien auswirken kann, hat der breitere Kontext im Artikel zur Digitalisierung in der Steuerkanzlei gezeigt. Exchange-Migration ist nicht der erste Schritt der Digitalisierung — sie ist die Voraussetzung, ohne die Sie bei allen folgenden Schritten stehenbleiben werden.

Migrations-Optionen im Vergleich

Nicht jede Cloud ist eine sinnvolle Antwort. Für eine Steuerkanzlei mit DATEV-Stack, Outlook-gewohntem Team und §203-Pflichten schränkt sich die realistische Auswahl ein:

Hybride Exchange-Konfigurationen (Teil on-prem, Teil Cloud) sind in der Praxis fast immer nur eine Migrations-Zwischenstufe, nicht die Endlösung. Andere Cloud-Anbieter (Google Workspace, Proton Business etc.) sind für Kanzleien mit DATEV-Anbindung faktisch disqualifiziert, weil die Integrationsschicht fehlt oder AVV-Standards nicht etabliert sind.

Der saubere Migrations-Fahrplan — 3 Phasen, 6–10 Wochen

Phase 1: Audit & Planung (Woche 1–2)

Die meisten gescheiterten Migrationen scheitern nicht an der Technik, sondern daran, dass der Umfang vorher nicht sauber erfasst wurde. Phase 1 ist Inventur. Nicht: Installation.

• Postfach-Inventar: Personen-Postfächer, Funktions-Postfächer (info@, buchhaltung@), Shared Mailboxes, Ressourcen-Postfächer, externe Verteiler
• Archiv-Größe: Historische E-Mails der letzten 10–20 Jahre — oft der größte Datenposten, häufig unterschätzt
• Kalender und Abwesenheitsregeln: Terminserien, Vertretungsregelungen, Fristenkalender (falls in Outlook geführt)
• Client-Landschaft: Welche Outlook-Versionen laufen auf welchen Arbeitsplätzen? Gibt es iPhones/Android mit ActiveSync-Profilen?
• DATEV-Integration: Aktuelle Konnektoren, Signatur-Tools, Add-Ins
• AVV-Vorbereitung: Microsoft-Auftragsverarbeitungsvertrag prüfen, TOMs dokumentieren, Datenschutzbeauftragten einbinden

Am Ende von Phase 1 liegt ein Migrations-Design vor: welche Postfächer wann, welcher Cutover-Termin, welche Kommunikation an das Team, welche Rückfall-Strategie für den Notfall.

Phase 2: Migration (Woche 3–6)

Für Kanzleien bis ca. 150 Postfächer ist Cutover Migration der richtige Ansatz: Alle Postfächer werden an einem definierten Termin umgestellt. Der Migrations-Service synchronisiert vorab Wochen oder Monate alten E-Mail-Bestand, beim Cutover werden nur noch Deltas nachgezogen. Realistische Downtime pro Postfach: zwischen 30 Minuten und 2 Stunden, verteilt über ein Wochenende.

Bei größeren Kanzleien oder komplexer Setup-Landschaft wird eine Staged Migration (Wellen von Postfächern) sinnvoll. Beide Varianten sind seit Jahren etabliert, die Werkzeuge (Microsoft Migration Tool, BitTitan MigrationWiz, CodeTwo) funktionieren zuverlässig. Wichtiger als die Tool-Wahl ist die Team-Vorbereitung: Jede Mitarbeiterin muss am Cutover-Montag wissen, wie sie ins neue Outlook kommt, wie die Signatur aussieht, wo die Team-Kalender liegen.

Phase 3: Cleanup & KI-Enablement (Woche 7–10)

Der Exchange-Server bleibt nach der Migration nicht einfach ausgeschaltet, er wird kontrolliert stillgelegt: 30 Tage als Cold Standby für Notfall-Rollback, danach Backup der Datenbanken, dann Deinstallation. Die Hardware kann in den Keller zurück oder verkauft werden.

Wichtiger Teil von Phase 3 — und der eigentliche strategische Gewinn der Migration:

• Microsoft Graph API aktivieren (Grundlage für jede KI-Integration)
• Azure AD / Entra ID sauber einrichten (Benutzergruppen, Rollen, Gäste)
• Modern Signatures einrichten (statt pro-Arbeitsplatz-Tools)
• Conditional Access Policies (MFA, Geräte-Compliance, Risikobasiertes Login)
• DATEV-Cloud-Konnektoren aktivieren, wo möglich

Versteckte Kosten, die kein Angebot offen ausweist

Die Rahmen-Kosten einer Exchange-Migration sind überschaubar: Lizenzen (M365 Business Standard 12,50 €/User/Monat), Dienstleister-Pauschale (150–300 € pro Postfach Cutover), ggf. Migrations-Tool-Lizenz. Aber darunter lauern drei Posten, die regelmäßig zu Budget-Überschreitungen führen:

1. Archiv-Migration. 20 Jahre E-Mail-Historie einer 30-MA-Kanzlei bedeutet schnell 500 GB bis 2 TB Daten. Wer „Cutover" bucht und glaubt, das Archiv wandert automatisch mit, wird überrascht: Archive werden oft separat berechnet (pro GB) oder müssen manuell ins Microsoft 365 In-Place-Archiv umgezogen werden.
2. Signatur-Infrastruktur. Ältere Signatur-Tools (z. B. CodeTwo on-prem) laufen nicht automatisch in der Cloud. Eine neue Signatur-Lösung — als Microsoft-365-nativ oder als Cloud-Add-On — muss budgetiert werden, inklusive Neu-Design der Signaturen.
3. AVV-Nachverhandlung mit Microsoft. Der Standard-AVV ist für B2C-Microsoft-365-Nutzer geschrieben, nicht für §203-regulierte Mandantendaten. Für Kanzleien braucht es ergänzende Klauseln zur Subdienstleister-Kette, zu Datenzugriff durch US-Behörden (CLOUD Act) und zur technisch-organisatorischen Trennung. Das ist keine juristische Raketenwissenschaft, aber es dauert drei bis vier Wochen und benötigt einen fachkundigen Datenschutzbeauftragten.

Die eigentliche Story: Migration ist die KI-Voraussetzung

Wer nur die Exchange-Migration abschließt und danach zurück in den Kanzlei-Alltag geht, hat das halbe Rennen gewonnen und das ganze vergessen. Denn die Migration ist nicht das Ziel — sie ist die Eintrittskarte in alles, was danach kommt.

Unser KI-Posteingang Dr. Mailo® läuft ausschließlich auf der Microsoft-Graph-API — also ausschließlich mit Microsoft 365. Der Grund ist nicht technologisches Lieblingsprodukt. Der Grund ist: on-prem Exchange liefert schlicht nicht die API-Qualität, die für eine produktive KI-Integration nötig ist. Das gleiche gilt für Microsoft 365 Copilot, für die DATEV-Graph-Konnektoren und für nahezu jede moderne Automation, die Sie in den nächsten fünf Jahren einsetzen werden. Wer die Migration aufschiebt, schiebt nicht die Migration auf, sondern den gesamten KI-Einsatz.

Fünf Fehler, die wir regelmäßig sehen

1. Archiv-Größe unterschätzt. Der Lieferant rechnet mit 200 GB, die Realität sind 1,2 TB. Fix: vor Angebot das IT-Haus die Exchange-Datenbankgröße explizit melden lassen.
2. Alten Server zu früh abgeschaltet. Rollback-Option wird verspielt, weil die Maschine ausgeschaltet wurde, bevor alle Nutzer in der Cloud produktiv sind. Fix: 30 Tage Cold-Standby nach Cutover.
3. Mitarbeiter nicht vorbereitet. Cutover-Montag, niemand weiß, wie man die Kalenderfreigaben wieder hinbekommt. Fix: 30-Minuten-Onboarding-Session eine Woche vor Migration, mit Screenshot-Handout.
4. Signaturen vergessen. Zwei Wochen nach Migration gehen E-Mails ohne Signatur raus — und Mandanten reagieren verunsichert. Fix: Signatur-Lösung als expliziten Posten im Projektplan.
5. AVV zu spät verhandelt. Drei Tage vor Cutover merkt die Datenschutzbeauftragte, dass der Standard-Microsoft-AVV nicht reicht. Fix: AVV-Klärung ist Teil von Phase 1, nicht von Phase 3.

Fazit: Exchange-Migration ist keine IT-Entscheidung

Wenn Sie nicht sicher sind, in welchem der drei Migrations-Szenarien Ihre Kanzlei steckt, ist das kostenlose 60-Min-Kanzlei-Audit der richtige Einstieg. Wir schauen gemeinsam auf Ihre aktuelle Infrastruktur, Ihren DATEV-Stack und Ihre Team-Größe — und Sie bekommen eine belastbare Einordnung, ob Sie die Migration selbst stemmen sollten, ob ein lokaler IT-Dienstleister reicht, oder ob die Komplexität eine strukturierte Begleitung rechtfertigt.

Und wenn Sie die Migration bereits hinter sich haben: Dann ist der nächste logische Schritt der 90-Tage-Plan für die KI-Einführung in der Steuerkanzlei. Die Exchange-Migration hat Ihnen die Tür geöffnet. Was dahinter liegt, ist der eigentliche Wettbewerbsvorteil der nächsten Jahre.