Datenschutz

DSGVO Steuerberater 2026: Pflichten + Fristen + Bußgelder

DSGVO für Steuerberater 2026: Mandantendaten, Verschwiegenheit vs. Auskunftsrecht, DATEV-Auftragsverarbeitung, Aufbewahrungsfristen und Bußgeldrisiken.

Auch verfügbar in:Polski·Italiano·Português·Nederlands

In einem Satz. Eine Steuerkanzlei wird DSGVO-konform, indem sie Mandantendaten als besonders schutzwürdig behandelt, das Verhältnis von berufsrechtlicher Verschwiegenheit (§ 57 StBerG) und Betroffenenrechten korrekt auflöst, für DATEV und Lohnbuchhaltung Auftragsverarbeitungsverträge führt, das Art.-30-Verzeichnis pflegt und die steuerlichen Aufbewahrungsfristen mit klaren Löschroutinen kombiniert.

Was muss ein Steuerberater für DSGVO-Konformität tun? Die Kanzlei verarbeitet hochsensible Wirtschafts-, Lohn- und teils Gesundheitsdaten (etwa bei Lohnabrechnung mit Krankheitszeiten) und unterliegt gleichzeitig strenger Verschwiegenheit. Konformität bedeutet: Rechtsgrundlagen dokumentieren, AVV mit allen IT- und Rechenzentrumsdienstleistern schließen, Betroffenenrechte im Rahmen des Berufsrechts bedienen und ein belastbares Löschkonzept betreiben. Dieser Leitfaden ergänzt unseren Beitrag zu Steuerberater und Mandantendaten um die operative Umsetzung. Einen allgemeinen Einstieg bietet DSGVO Anforderungen.

Wichtige Punkte

  • Mandantendaten sind wirtschaftlich hochsensibel - erhöhte TOM erforderlich.
  • Verschwiegenheit (§ 57 StBerG) und DSGVO ergänzen sich, sie widersprechen sich selten.
  • DATEV-Nutzung erfordert einen AVV nach Art. 28.
  • DSB in Kanzleien ab 20 Beschäftigten mit automatisierter Verarbeitung Pflicht.
  • Handakten und steuerliche Unterlagen unterliegen langen Aufbewahrungsfristen.

1. Welche Daten die Kanzlei verarbeitet

Eine Steuerkanzlei verarbeitet Daten des Mandanten (Umsätze, Vermögen, Verträge), seiner Beschäftigten (Löhne, Sozialversicherung, Krankheitszeiten), teils von Angehörigen sowie eigene Personaldaten. Lohnabrechnungsdaten können besondere Kategorien nach Art. 9 DSGVO enthalten - etwa Konfession (Kirchensteuer), Gesundheitsdaten (Krankheitstage) oder Gewerkschaftszugehörigkeit. Das hebt das Schutzniveau.

2. Rechtsgrundlagen pro Verarbeitung

Verarbeitung Rechtsgrundlage
Mandatsbearbeitung Art. 6 Abs. 1 lit. b
Steuerliche Pflichten des Mandanten Art. 6 Abs. 1 lit. c
Lohnbuchhaltung (Beschäftigte des Mandanten) Art. 6 lit. c i.V.m. § 26 BDSG
Kirchensteuer / Gesundheitsdaten Art. 9 Abs. 2 lit. b
Eigene Buchhaltung / Honorar Art. 6 Abs. 1 lit. c
Mandantenakquise / Newsletter Art. 6 Abs. 1 lit. a
Kanzlei-Mitarbeiter § 26 BDSG

3. Verschwiegenheit und DSGVO - kein Widerspruch

Die berufsrechtliche Verschwiegenheit nach § 57 StBerG und § 203 StGB steht der DSGVO nicht entgegen, sondern verstärkt sie: Beide verlangen Vertraulichkeit. Praktisch relevant wird das Verhältnis an zwei Stellen. Erstens beim Auskunftsrecht nach Art. 15 DSGVO: Ein Mandant hat Auskunftsanspruch über seine eigenen Daten, Dritte (z. B. der Ehepartner) nicht, wenn deren Daten der Verschwiegenheit unterliegen. Zweitens bei Auskunftsersuchen Dritter - hier schützt die Verschwiegenheitspflicht die Mandantendaten und begründet ein Verweigerungsrecht. Die Verschwiegenheit ist zudem eine gesetzlich angeordnete Geheimhaltungspflicht, die nach Art. 90 DSGVO die Befugnisse der Aufsichtsbehörde beim Zugriff auf Handakten begrenzt.

4. DATEV und Auftragsverarbeitung

Nahezu jede Kanzlei nutzt DATEV. Das DATEV-Rechenzentrum ist Auftragsverarbeiter; ein AVV nach Art. 28 ist erforderlich und wird von DATEV standardisiert bereitgestellt. Weitere typische Auftragsverarbeiter:

  • IT-Dienstleister mit Fernwartung und Server-Hosting,
  • Aktenvernichtung und Archivdienstleister,
  • Cloud-Backup und Dokumentenmanagement,
  • Telefon- und Videokonferenzdienste.

Grundlagen und Musterinhalte finden Sie unter Auftragsverarbeitung DSGVO. Wichtig: Auch bei DATEV verbleibt die datenschutzrechtliche Verantwortung bei der Kanzlei.

5. Verzeichnis und Datenschutzbeauftragter

Ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 ist Pflicht. Ein Datenschutzbeauftragter ist zu benennen, sobald mindestens 20 Personen ständig mit automatisierter Verarbeitung befasst sind (§ 38 BDSG). Kleinere Kanzleien liegen oft darunter, sollten die Schwelle aber prüfen, da nahezu jede Tätigkeit in der Kanzlei automatisiert erfolgt.

6. Aufbewahrungsfristen

Datenart Frist Grundlage
Handakten des Steuerberaters 10 Jahre § 66 Abs. 1 StBerG
Buchungsbelege, Bilanzen 10 Jahre § 147 AO, § 257 HGB
Handels- und Geschäftsbriefe 6 Jahre § 257 HGB
Lohnkonten 6 Jahre § 41 EStG
Mandantenkorrespondenz (ohne steuerliche Relevanz) nach Zweckerreichung Speicherbegrenzung
Bewerberdaten 6 Monate nach Absage AGG-Klagefrist

Nach Fristablauf greift die Löschpflicht (Speicherbegrenzung). Handakten dürfen nach § 66 StBerG bereits nach 10 Jahren vernichtet werden - ein guter Ankerpunkt für ein Löschkonzept.

7. TOM - technische und organisatorische Maßnahmen

Angesichts der Datensensibilität sind erhöhte Maßnahmen nach Art. 32 DSGVO angezeigt: verschlüsselte Datenträger und E-Mail-Anhänge, rollenbasierte Zugriffsrechte (nicht jeder Mitarbeiter sieht jedes Mandat), Zwei-Faktor-Authentifizierung, verschlüsselte Backups, gesicherte Aktenschränke und ein Clean-Desk-Prinzip. Beim E-Mail-Versand steuerlich sensibler Unterlagen empfiehlt sich Transportverschlüsselung oder ein Mandantenportal.

8. Echte Bußgelder - was den Sektor betrifft

Öffentlich bekannte Bußgelder speziell gegen Steuerkanzleien sind selten - was auch daran liegt, dass Verstöße hier oft im Verborgenen bleiben. Aussagekräftig sind Fälle aus datenintensiven Beratungs- und Finanzumfeldern:

Jahr Behörde Fall (Sektor) Sanktion Lehre für Kanzleien
2020 LfDI BW AOK Baden-Württemberg 1.240.000 € keine Zweckentfremdung sensibler Daten
2019 BfDI 1&1 Telecom 9.550.000 € starke Authentifizierung am Telefon
2020 HmbBfDI H&M (Beschäftigte) 35.300.000 € keine exzessiven Personalprofile

Für die Kanzlei besonders relevant: Die Auskunft am Telefon ist der klassische Schwachpunkt (Fall 1&1). Wer Mandantendaten telefonisch herausgibt, ohne die Identität sicher zu prüfen, riskiert einen Verstoß.

9. Häufige Fehler

  • Kein AVV mit IT-Dienstleister und Archivdienst (DATEV wird oft berücksichtigt, andere vergessen).
  • Sammel-E-Mails an Mandanten mit offenem Verteiler (CC statt BCC).
  • Unverschlüsselter Versand von Lohn- und Steuerunterlagen.
  • Zugriff aller Mitarbeiter auf alle Mandate ohne Rollenkonzept.
  • Handakten werden über die Fristen hinaus unbegrenzt aufbewahrt.
  • Auskunft am Telefon ohne Identitätsprüfung.

10. Tool-Unterstützung

Legiscope unterstützt Kanzleien beim Aufbau des Verarbeitungsverzeichnisses, bei AVV-Vorlagen für DATEV und IT-Dienstleister sowie bei einem fristenbasierten Löschkonzept - abgestimmt auf die berufsrechtlichen Besonderheiten des StBerG.

11. Datenpanne in der Kanzlei

Typische Pannen: ein verlegter USB-Stick mit Mandantenbuchhaltung, ein Fehlversand der DATEV-Auswertung an den falschen Mandanten, ein kompromittiertes Kanzleipostfach oder ein Ransomware-Angriff auf den Kanzleiserver. Weil Mandantendaten wirtschaftlich hochsensibel sind, ist das Risiko für Betroffene oft erheblich - die 72-Stunden-Meldung nach Art. 33 DSGVO ist dann geboten, ergänzt um eine Benachrichtigung der betroffenen Mandanten nach Art. 34. Vorsorge: Festplatten- und E-Mail-Verschlüsselung, Zwei-Faktor-Authentifizierung, getestete Backups (offline) und ein dokumentierter Notfallplan. Die konkreten Meldewege sind unter Datenpanne melden beschrieben.

12. Umsetzung in fünf Schritten

  1. Datenlandkarte: Mandats-, Lohn- und Kanzleidaten sowie alle Dienstleister (DATEV, IT, Archiv) erfassen.
  2. Verzeichnis nach Art. 30 anlegen und Rechtsgrundlagen je Verarbeitung dokumentieren.
  3. AVV-Inventur: Jeden Auftragsverarbeiter prüfen - DATEV wird oft berücksichtigt, IT-Wartung und Aktenvernichter vergessen.
  4. Rollen- und Löschkonzept: Zugriffsrechte je Mandat begrenzen, Löschroutinen entlang der 10-Jahres-Fristen (§ 66 StBerG, AO) einrichten.
  5. Sicherheit und Schulung: Verschlüsselung, sichere Portale statt offener E-Mail, jährliche Kurzschulung des Teams - insbesondere zur telefonischen Identitätsprüfung.

13. Betroffenenrechte in der Praxis

Mandanten und deren Beschäftigte können ihre Rechte gegenüber der Kanzlei geltend machen - die Kanzlei braucht dafür klare Prozesse mit der Monatsfrist des Art. 12 Abs. 3:

  • Auskunft (Art. 15): Der Mandant erhält Auskunft über seine Daten. Die Auskunft ist aber durch die Verschwiegenheit gegenüber Dritten begrenzt - Daten Dritter (etwa des Ehepartners oder von Beschäftigten des Mandanten) sind zu schwärzen.
  • Berichtigung (Art. 16): Unrichtige Stammdaten sind zu korrigieren; steuerlich bereits eingereichte Daten bleiben aus Nachweisgründen dokumentiert.
  • Löschung (Art. 17): Ein Löschverlangen greift nicht gegen die 10-jährige Aufbewahrungspflicht (§ 66 StBerG, AO) - die Daten werden gesperrt und erst nach Fristablauf gelöscht.
  • Widerspruch gegen Direktwerbung (Art. 21): sofort umzusetzen; Mandanten-Newsletter dann einzustellen.
  • Beschwerde: Betroffene können sich an die zuständige Aufsichtsbehörde wenden (Art. 77); unrechtmäßige Verarbeitung kann zudem Schadensersatz nach Art. 82 auslösen.

Ein dokumentierter Ablauf - wer nimmt Anfragen entgegen, wie wird die Identität geprüft, wie werden Daten aus DATEV und Kanzleisoftware zusammengeführt - verhindert Fristverstöße und ist selbst Teil der Rechenschaftspflicht.

Fazit

Für Steuerkanzleien ist Datenschutz kein Fremdkörper: Die berufliche Verschwiegenheit deckt sich weitgehend mit den DSGVO-Pflichten. Entscheidend sind saubere AVV (allen voran DATEV), ein Rollenkonzept beim Zugriff, verschlüsselte Kommunikation und ein Löschkonzept entlang der 10-Jahres-Fristen. Der klassische Schwachpunkt bleibt die telefonische Auskunft ohne Identitätsprüfung. Wer als Kanzlei auch Rechtsberatung anbietet oder mit Anwälten kooperiert, findet die verwandten Themen im Leitfaden Anwaltskanzlei.

FAQ

Widerspricht die DSGVO der steuerberaterlichen Verschwiegenheit?

Nein. § 57 StBerG und § 203 StGB verlangen Vertraulichkeit, die DSGVO ebenfalls. Die Verschwiegenheit begrenzt sogar die Auskunftsrechte Dritter und den Behördenzugriff auf Handakten (Art. 90 DSGVO).

Brauche ich für DATEV einen AVV?

Ja. Das DATEV-Rechenzentrum ist Auftragsverarbeiter; ein AVV nach Art. 28 ist erforderlich und wird von DATEV standardisiert bereitgestellt. Die datenschutzrechtliche Verantwortung bleibt bei der Kanzlei.

Wie lange muss ich Mandantenunterlagen aufbewahren?

Handakten 10 Jahre (§ 66 StBerG), Buchungsbelege und Bilanzen ebenfalls 10 Jahre (AO, HGB), Handelsbriefe 6 Jahre. Danach besteht Löschpflicht, soweit keine andere Rechtsgrundlage greift.

Muss die Kanzlei einen Datenschutzbeauftragten benennen?

Ab 20 Personen, die ständig mit automatisierter Verarbeitung befasst sind (§ 38 BDSG). Da in Kanzleien fast alles automatisiert läuft, sollte die Schwelle sorgfältig geprüft werden.

Darf ich Steuerunterlagen per E-Mail versenden?

Nur mit angemessener Sicherung. Für sensible Unterlagen sind Transportverschlüsselung, passwortgeschützte Anhänge oder ein Mandantenportal angezeigt. Offener Versand kann einen Verstoß gegen Art. 32 darstellen.

Darf ich Mandantendaten in einer US-Cloud speichern?

Nur mit besonderer Sorgfalt. Bei einem Cloud-Anbieter mit Datenverarbeitung in den USA oder mit US-Muttergesellschaft ist neben dem AVV ein Transfer-Impact-Assessment erforderlich; zusätzlich verlangt die berufsrechtliche Verschwiegenheit belastbare Garantien (Verschlüsselung mit eigener Schlüsselhoheit). In der Praxis sind EU-gehostete Lösungen mit dokumentierter Serverstandort-Zusage der sichere Weg. Die reine Standard-AVV genügt nicht, wenn ein tatsächlicher Zugriff aus einem Drittland möglich bleibt.

Behördeninformationen: Datenschutzkonferenz (DSK) und BfDI; Gesetzestexte unter gesetze-im-internet.de/stberg.

Siehe auch: Die passende technische Lösung dazu behandeln wir im Vergleich der DSGVO-Software für Kanzleien.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →