In einem Satz. Steuerberater verarbeiten hochsensible wirtschaftliche und persönliche Mandantendaten unter den parallelen Pflichten der DSGVO, der berufsrechtlichen Verschwiegenheit nach § 57 Abs. 1 StBerG und § 9 BOStB sowie der strafrechtlichen Geheimhaltung nach § 203 StGB — wobei die Cloud-basierten DATEV-Lösungen Standardinfrastruktur sind und dennoch saubere AVV- und Schweigepflichtverpflichtungen verlangen.
Steuerberater sind nach § 203 StGB klassische Berufsgeheimnisträger. Wie bei Anwälten gilt seit der 2017er-Reform: IT-Auslagerung erfordert formale Schweigepflichtverpflichtung der Dienstleister-Mitarbeiter. Steuerberaterkammer (StBK) übt berufsrechtliche Aufsicht, LDA datenschutzrechtliche. Siehe BfDI.
Wichtige Punkte
- Dreifachpflicht: DSGVO, § 57 StBerG, § 203 StGB.
- DATEV-Cloud-Lösungen erfordern AVV + § 203 Abs. 4 StGB-Verpflichtung.
- Belegtransfer (Unternehmen-Online, DUO) ist Standard, mit DSGVO-Hinweisen für Mandanten.
- 10-jährige Aufbewahrungspflicht für Buchführungsunterlagen (§ 147 AO).
- DSB-Pflicht ab 20 Personen mit automatisierter Verarbeitung.
1. Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Mandatsvertrag | Art. 6 Abs. 1 lit. b |
| Steuererklärungen | Art. 6 Abs. 1 lit. b + lit. c |
| Lohnabrechnung | Art. 6 Abs. 1 lit. b + lit. c (Sozialgesetze) |
| Belegarchivierung | Art. 6 Abs. 1 lit. c (AO, HGB) |
| Marketing | Einwilligung (Art. 6 Abs. 1 lit. a) |
2. Verschwiegenheitspflicht § 57 StBerG
Steuerberater muss “über alles, was ihm in beruflicher Eigenschaft anvertraut wird, Verschwiegenheit bewahren”. Erfasst:
- Mandatsdaten
- Geschäftszahlen
- Privatsphäre der Mandanten
- Mandatsverhältnis selbst
Berufsrechtliche Sanktionen StBK: Rüge, Geldbuße bis €25.000, Berufsverbot.
3. § 203 StGB: Strafbarkeit
Wie bei Anwälten: Offenbarung fremder Geheimnisse durch Steuerberater bis 1 Jahr Freiheitsstrafe. § 203 Abs. 3 StGB: Mitwirkende Personen zulässig mit Schweigepflichtverpflichtung. § 203 Abs. 4: schriftliche Verpflichtung Pflicht.
4. DATEV als Branchen-Infrastruktur
DATEV eG ist Genossenschaft und faktischer Branchenstandard. Datenschutzaspekte:
- DATEV ist Auftragsverarbeiter — AVV erforderlich
- Schweigepflichtverpflichtung der DATEV-Mitarbeiter (DATEV-Standard)
- Datenstandort Deutschland (Rechenzentren Nürnberg)
- C5-Testat vorhanden
- ISO 27001-Zertifizierung
5. Unternehmen-Online und Belegtransfer
DATEV Unternehmen Online (DUO) ermöglicht Belegtransfer Mandant → Kanzlei. Datenschutzpflichten:
- Information des Mandanten (Art. 13 DSGVO)
- AVV zwischen Mandant und Steuerberater (wenn Mandant Verantwortlicher!)
- Verschlüsselte Übertragung
- Berechtigungsmanagement
6. Lohnbuchhaltung
Lohnabrechnung verarbeitet:
- Stammdaten (auch Sozialversicherungsnummer, Religion, Kinder)
- Bankverbindung
- Gehaltsdaten
- Krankheits- und Fehlzeiten
Rechtsgrundlage: Art. 6 Abs. 1 lit. c (SGB, EStG, LStDV). Aufbewahrung: 6 Jahre für Lohnunterlagen.
7. IT-Dienstleister und Cloud (außer DATEV)
Bei alternativen Lösungen (Addison, lexoffice, taxpool, Microsoft 365) gleiche Anforderungen:
- AVV nach Art. 28 DSGVO
- § 203 Abs. 4 StGB-Schweigepflichtverpflichtung
- EU-Datenstandort
- TR-02102-konforme Verschlüsselung
Siehe AVV-Muster, BSI TR-02102.
8. Aufbewahrungsfristen
| Dokument | Frist | Grundlage |
|---|---|---|
| Bücher, Inventare, Bilanzen | 10 Jahre | § 147 Abs. 1 Nr. 1 AO |
| Buchungsbelege | 10 Jahre | § 147 Abs. 1 Nr. 4 AO |
| Geschäftskorrespondenz | 6 Jahre | § 147 Abs. 1 Nr. 2-3 AO |
| Lohnunterlagen | 6 Jahre | § 41 Abs. 1 EStG |
| Handakte Steuerberater | 7 Jahre | § 66 StBerG |
Bei laufenden Außenprüfungen Ablaufhemmung.
9. Mandanteninformation und Auskunftsrecht
Mandant hat Anspruch nach Art. 15 DSGVO. Praktische Umsetzung:
- Kopien der Steuererklärungen (ohnehin Pflicht nach § 66 StBerG)
- Korrespondenz mit Finanzamt
- Buchhaltungsdaten
Konflikte: Wenn Belege Geheimnisse Dritter enthalten (Lieferanten, Mitarbeiter), Schwärzung erforderlich.
10. Datenpannen
Typische Vorfälle:
- Fehlversendung von Steuerbescheiden
- USB-Stick mit Mandantendaten verloren
- E-Mail an falschen Empfänger
- Ransomware-Angriff auf Kanzlei (sektorweit zunehmend)
Meldepflicht 72h an LDA, ggf. Mandanteninformation. Bei DATEV-Vorfällen Information durch DATEV.
11. Sanktionsbeispiele
| Fall | Sanktion |
|---|---|
| Steuerberater (offener FTP-Server) | €20.000 LDA |
| Sozietät (E-Mail-Phishing erfolgreich, kein MFA) | €45.000 |
| Lohnbuchhaltungs-Dienstleister (USB-Stick) | €15.000 |
12. Tool-Unterstützung
Legiscope bildet Mandanten-VVT, DATEV-AVV, Schweigepflichtverpflichtungen und Aufbewahrungsfristen-Tracking nach AO/StBerG ab.
Fazit
Steuerberater haben mit DATEV einen Branchenstandard, der vieles vereinfacht — aber nicht alles. Wer die § 203-StGB-Verpflichtung der eigenen IT-Dienstleister oder Mitarbeiter vergisst, riskiert mehr als ein DSGVO-Bußgeld: persönliche Strafbarkeit.
FAQ
Darf ich DATEV-Cloud nutzen?
Ja, mit DATEV-AVV (Standardvertrag verfügbar) und Schweigepflichtverpflichtung der DATEV-Mitarbeiter (im Standard enthalten). EU-Standort.
Brauche ich einen Datenschutzbeauftragten?
Ab 20 Personen mit automatisierter Verarbeitung. Bei spezieller Mandantschaft (z.B. Ärzte, Rechtsanwälte als Mandanten) ggf. früher.
Welche Aufbewahrungsfrist für Mandanten-Handakten?
7 Jahre nach Ende des Mandats (§ 66 StBerG), bei laufenden Außenprüfungen Ablaufhemmung — also faktisch oft länger.
Wer ist Verantwortlicher bei Lohnbuchhaltung?
Der Mandant (Arbeitgeber) ist Verantwortlicher, der Steuerberater ist Auftragsverarbeiter — AVV mit Mandant erforderlich.
E-Mail mit Mandantendaten verschlüsseln?
TLS-Server-Verschlüsselung Pflicht. Ende-zu-Ende-Verschlüsselung empfohlen bei sensiblen Inhalten (z.B. Steuerstrafsachen, Großmandate).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial