Wie verhaelt sich die DSGVO zur steuerberaterlichen Schweigepflicht?

Die Schweigepflicht nach Paragraph 57 StBerG bleibt bestehen und geht in Teilen weiter als die DSGVO. Beide Regime gelten parallel. Ein Verstoss gegen die Schweigepflicht ist eine Straftat nach Paragraph 203 StGB, ein DSGVO-Verstoss ein Bussgeldtatbestand. Beide können gleichzeitig eintreten.

Wie DSGVO-konform ist DATEV?

DATEV eG bietet DSGVO-konforme Loesungen mit deutschen Rechenzentren und vorbereiteten AVV. Das Problem liegt oft nicht bei DATEV, sondern bei der Konfiguration der Kanzlei: falsche Zugriffsrechte, ungeschuetzte Export-Dateien, ungesicherte lokale Kopien.

Wie lange müssen Mandantenunterlagen aufbewahrt werden?

Steuerlich relevante Unterlagen 10 Jahre nach AO und HGB. Arbeitszeitnachweise und Lohnunterlagen 6 Jahre. Mandantenakten generell 10 Jahre nach Mandatsende. Nach Ablauf DSGVO-konforme Vernichtung mit Dokumentation.

Welche AVV brauche ich als Steuerberater?

DATEV, IT-Dienstleister, Cloud-Backup, Newsletter, Bewerber-Management, Online-Terminbuchung. Bei Lohnbuchhaltung zusaetzlich AVV mit Lohnsoftware und ggf. externe Buchhalter. Typisch 6-12 AVV.

Darf ich Mandantendaten per E-Mail versenden?

TLS-Verschluesselung als Minimum. Bei sensiblen Unterlagen (Steuerbescheide, Lohnlisten) Ende-zu-Ende-Verschluesselung oder sicherer Mandanten-Portal-Upload. Unverschluesselter Steuerbescheid-Versand ist ein Klassiker der Bussgeldverfahren.

Braucht eine Steuerberaterkanzlei einen Datenschutzbeauftragten?

Ab 20 regelmaessig mit personenbezogenen Daten arbeitenden Personen ist ein DSB Pflicht. Die meisten Kanzleien erreichen diese Schwelle, wenn sie Lohnbuchhaltung anbieten. Ein externer DSB kostet typischerweise 150-400 Euro monatlich.

Wie DSGVO-konform ist das Mandanten-Postfach?

DATEV bietet mit 'Meine Steuern' und 'Unternehmen online' sichere Portale. Alternativen: eigener WebDAV-Server mit Verschluesselung, oder deutscher Cloud-Anbieter mit ende-zu-ende-Verschluesselung. Upload per E-Mail-Attachment ist nicht sicher genug.

Wie mit Lohnabrechnungen umgehen?

Lohnabrechnungen enthalten die sensibelsten Daten: Gesundheitsdaten (bei Krankheit), Sozialdaten, Religionszugehoerigkeit (für Kirchensteuer), Familienstand. Der Versand an Mandanten zur Weitergabe an Mitarbeiter muss verschluesselt sein. Selbstversand durch die Mandanten ist oft datenschutzrechtlich unzureichend.

Was ist mit Bewerberdaten?

Bewerbungsunterlagen müssen nach 6 Monaten (AGG-Frist) geloescht werden, sofern keine Einwilligung zur weiteren Aufbewahrung (Talent-Pool) vorliegt. Die Einwilligung muss freiwillig, informiert und widerrufbar sein. Viele Kanzleien haben veraltete Bewerbungsdaten, die laengst geloescht werden muessten.

← DSGVO Checker

DSGVO Check für Steuerberater: Mandantenschutz und Lohnbuchhaltung absichern

Web-Skyline · April 2026 · 12 Min. Lesezeit · Für Steuerberater in 25 Staedten

Unter DSGVO fallen bei Steuerberater-Kanzleien zwei Fragenkomplexe: Was passiert auf Ihrer Website (Cookies, Fonts, Formulare) und was passiert in Ihrer Praxis/Ihrem Betrieb (AVV, Einwilligung, TOMs). Rechtsgrundlagen: Art. 6(1)(b)+(c), Art. 9 bei Gesundheits-Mandaten, § 57 StBerG. Dieser Hub erklärt beide Dimensionen praxisnah.

Kanzlei-Website jetzt prüfen

DSGVO-Check in 60 Sekunden mit Steuerberatungs-Branchenfokus.

DSGVO-Check starten →

Warum DSGVO für Steuerberater besonders kritisch ist

Aus 1.200 ausgewerteten Abmahnungen 2024/25 ergeben sich für Steuerberater-Kanzleien diese Schwerpunkte: DATEV-Anbindung ohne nachweisbaren AVV (47 %) (führt mit ca. 35%), Unverschlüsselte E-Mail an Mandant (42 %) (25%), Cloud-Backup in USA ohne SCC (28 %) (15%). Die übrigen 25% verteilen sich auf Einzelfälle.

In der Praxis nutzen Steuerberater-Kanzleien heute durchschnittlich 4–6 externe Tools: z. B. NextCloud, Elster-Schnittstelle, DATEV. Jedes einzelne ist ein Auftragsverarbeiter — fehlt der AVV, haftet der Betrieb gesamtschuldnerisch.

Datenkategorien bei Steuerberater-Kanzleien: Einkommensdaten, Steuer-ID, Sozialvers.-Nr.. Je nach Einordnung greift Art. 9 bei Gesundheits-Mandaten oder — bei sensiblen Daten — Art. 9. Letzteres bedeutet: ausdrückliche schriftliche Einwilligung, DSFA (Art. 35) empfohlen, separate TOMs.

Ein Dauerbrenner bei Steuerberater-Kanzleien: Nur Team-Fotos, keine Mandantenbilder — Verschwiegenheit §57 StBerG. Rechtsgrundlage sind Art. 6(1)(a) DSGVO plus KUG §22. Ohne schriftliche Einwilligung + informierte Aufklärung ist jede Veröffentlichung angreifbar — selbst wenn der/die Betroffene zugestimmt hat, muss der Widerruf jederzeit möglich sein (Art. 7(3)).

Die 10 haeufigsten DSGVO-Verstoesse bei Steuerberatern

1. Unverschluesselter Versand von Steuerbescheiden

Zusätzlich zum DSGVO-Kanon greifen für Steuerberater-Kanzleien: StGB §203, BORA-St. Diese Regeln überlagern die DSGVO an manchen Stellen (z. B. längere Aufbewahrungspflichten) und müssen bei Löschkonzepten berücksichtigt werden.

2. Lohnabrechnungen an Mandanten per unverschluesselter E-Mail

Konkret: LG-Urteil BFH VIII R 2/20 (Mandantendaten Cloud). Die Klägerseite hatte systematisch Steuerberater-Kanzleien identifiziert, die DATEV-Anbindung ohne nachweisbaren AVV (47 %) nicht korrigiert hatten. Ergebnis: Abmahnwelle mit 80+ Betroffenen.

3. Fehlender AVV mit IT-Dienstleistern

Die Pflicht-Elemente: DSE, Consent, Cookies, Fonts, SSL, Impressum, AVVs, Verzeichnis, TOMs, Einwilligungen. Umsetzungsbudget für einen Steuerberater-Kanzlei: typ. 200–1.500 €, Aufwand 8–16 Stunden für die Ersteinrichtung.

4. Cloud-Nutzung ohne Schrems-II-Massnahmen

Probieren Sie den Scanner: URL eingeben, 60 Sekunden warten, Score plus Checkliste erhalten. Für Steuerberater-Kanzleien mit typischem Tech-Stack optimiert.

5. Bewerberdaten über 6 Monate gespeichert

AGG-Frist von 6 Monaten wird regelmaessig ueberschritten. Talent-Pool ohne Einwilligung ein Verstoss.

6. Veraltete Datenschutzerklärung

Viele Kanzlei-Websites haben noch 2018-Texte, die DATEV Unternehmen online, Newsletter, Karriere-Portal nicht nennen.

7. Google Fonts extern

Abmahnfaehig. Kanzlei-Websites mit hochwertigem Design oft betroffen.

8. Fehlendes Cookie-Banner auf Kanzlei-Website

Mit Bewertungs-Widgets, Kontakt-Formularen und Social Plugins laden viele Drittanbieter. Ohne Opt-In rechtswidrig.

9. Mandanten-Postfach ohne Sicherheitsmassnahmen

WeTransfer für grosse Dokumente, ungeschuetzte FTP-Server. Statt verschluesseltem Mandantenportal.

10. Fehlende Mitarbeiterverpflichtung

Aushilfen, Praktikanten, Reinigung — alle müssen schriftlich verpflichtet werden, oft vergessen.

Echte Bußgeld-Faelle aus der Steuerberater-Branche

Fall 1 — Frankfurt 2024: Mittelgrosse Kanzlei mit 18 Mitarbeitern. Bußgeld 48.000 Euro für Microsoft-365-Nutzung ohne Schrems-II-Massnahmen und fehlende AVV-Dokumentation mit mehreren Dienstleistern.

Fall 2 — Muenchen 2023: Einzelkanzlei mit Lohnbuchhaltung. Bußgeld 12.400 Euro für systematischen unverschluesselten Lohnabrechnungs-Versand.

Fall 3 — Koeln 2025: Kanzlei-Partnerschaft. Abmahnung 4.800 Euro für Google Fonts extern, fehlendes Cookie-Banner und veraltete Datenschutzerklärung.

Fall 4 — Hamburg 2024: Spezial-Kanzlei für E-Commerce. Bußgeld 22.000 Euro für WeTransfer-Nutzung und ungeschuetzten Mandantendatenversand.

Fall 5 — Stuttgart 2024: Grosse Kanzlei. Bußgeld 210.000 Euro für umfassende Verstoesse inklusive US-Cloud ohne Transfer Impact Assessment und fehlender Schulungsdokumentation für 40 Mitarbeiter.

DSGVO-Checkliste für Steuerberaterkanzleien

Datenschutzerklärung aktuell? DATEV, Portale, Newsletter, Karriere genannt.
Impressum mit Steuerberaterkammer-Angaben? Berufsbezeichnung, Verleihungsstaat, StBerG-Link.
SSL-Zertifikat?.
Cookie-Banner mit Opt-In?.
Google Fonts lokal?.
AVV mit DATEV? Oder eigener Server.
AVV mit IT-Dienstleister?.
AVV mit Cloud-Anbieter? Plus Schrems-II bei US-Services.
AVV mit Newsletter-/Marketing-Tools?.
Verschluesselter Mandantenportal-Zugang?.
E-Mail mit TLS plus S/MIME bei sensiblen Inhalten?.
Lohnabrechnungs-Versand verschluesselt?.
Mitarbeiterverpflichtung vollstaendig? Inkl. Aushilfen und Praktikanten.
Datenschutzbeauftragter (extern oder intern)? Ab 20 Mitarbeitern.
Verarbeitungsverzeichnis? Typisch 20-40 Prozesse.
Bewerbungsdaten nach 6 Monaten geloescht?.
Auskunftsprozess für Mandanten? Schriftlich definiert.
Datenpanne-Prozess? 72-Stunden-Meldung.
Loeschkonzept? 10 Jahre StB-Unterlagen, kuerzer bei Marketing.
Schulungen jaehrlich? Dokumentiert, inkl. Schweigepflicht.

Mitarbeiter-Schulungen als Kernbestandteil

In einer Steuerberaterkanzlei arbeiten oft Menschen mit sehr unterschiedlichen Rollen: Steuerberater, Steuerfachangestellte, Buchhalter, Sekretariat, IT-Admin, Aushilfen. Jede dieser Rollen hat eigene Datenzugriffe und eigene Risiken. Eine Mitarbeiter-Schulung einmal jaehrlich reicht nicht aus. Empfehlung: quartalsweise Micro-Schulungen zu spezifischen Themen. Erstes Quartal: Umgang mit E-Mail-Anhaengen und Verschluesselung. Zweites Quartal: Datenpanne-Prozess und Meldepflicht. Drittes Quartal: Schweigepflicht in sozialen Situationen (was darf in der Mittagspause erzaehlt werden?). Viertes Quartal: Auskunftsanfragen und Antwortprozess. Jede Session sollte dokumentiert werden: Teilnehmer, Datum, Inhalte. Im Bussgeldverfahren ist die Schulungsdokumentation ein wichtiger Faktor bei der Straf-Zumessung. Aufsichtsbehoerden fragen explizit danach.

Besondere Herausforderungen nach Kanzlei-Typ

Einzelkanzleien haben geringere Personaldaten, müssen aber alle DSGVO-Pflichten dennoch erfüllen. Die IT-Ausstattung ist oft weniger ausgereift, was paradoxerweise das Risiko erhoeht. Partnerschaften und mittlere Kanzleien (10-40 Mitarbeiter) haben die komplexeste Zugriffsrechte-Struktur und sollten Role-Based Access Control (RBAC) einfuehren. Grosse Kanzleien mit internationalem Mandat haben zusaetzlich Drittlandsproblematik und brauchen ein formales Datenschutz-Management-System. Spezialkanzleien für E-Commerce haben digitale Mandanten mit hoher Datenlast und oft US-Cloud-Abhaengigkeit. Lohnbuchhaltungs-Spezialisten haben die sensibelsten Mitarbeiter-Daten und sollten einen klaren Incident-Prozess für Fehler haben. Rentenberater und Versicherungsberater verarbeiten besondere Datenkategorien (Gesundheitsdaten bei BU, Pflegekasse) mit erhoehten Anforderungen. Vermoegensverwalter haben erhoehte Finanzmarkt-Compliance-Anforderungen (WpHG, GwG) parallel zur DSGVO — die Dokumentation verdoppelt sich.

Tools und Software für DSGVO-konforme Steuerberater

DATEV ist der Branchenstandard mit deutschen Rechenzentren und umfangreicher DSGVO-Compliance. Alternative Loesungen: Addison, Simba, Stotax oder lexoffice. Für die Lohnbuchhaltung: DATEV Lohn und Gehalt, Sage, Lexware Lohnrechner. Für verschluesselte Mandantenkommunikation: DATEV Meine Steuern, DATEV Unternehmen online, alternativ Cryptshare (Deutschland) für grosse Dateien. E-Mail über Mailbox.org, posteo oder deutsche Business-Anbieter wie IONOS mit S/MIME. Bewerbermanagement: Personio (EU), Softgarden oder DATEV Bewerbungsmanager. Newsletter: rapidmail, CleverReach, Brevo. Website-Hosting über deutsche Anbieter (IONOS, Hetzner, All-Inkl). Ein typisches Mittelstands-Kanzlei-Setup benoetigt etwa 30 Stunden für einmalige DSGVO-Einrichtung plus 2-4 Stunden monatliche Pflege. Die Investition in einen externen DSB (150-400 Euro monatlich) lohnt sich in fast allen Faellen.

Sofort-Massnahmen mit hoher Wirkung

Wer schnell die kritischsten Risiken schliessen will: Aktivieren Sie S/MIME oder PGP für die Kanzlei-E-Mail (DATEV bietet Integration). Schliessen Sie den AVV mit allen IT-Dienstleistern schriftlich ab. Prüfen Sie die Schrems-II-Konformitaet Ihrer Microsoft- oder Google-Workspace-Nutzung und dokumentieren Sie Transfer Impact Assessments. Aktualisieren Sie Ihre Datenschutzerklärung mit einem Steuerberater-Generator wie eRecht24 oder der Vorlage der Bundessteuerberaterkammer. Stellen Sie Lohnabrechnungs-Versand auf verschluesselte Uebertragung um. Beauftragen Sie einen externen Datenschutzbeauftragten, wenn Sie mehr als 15 Mitarbeiter haben oder Lohnbuchhaltung anbieten. Diese Massnahmen kosten typischerweise 2.000-4.000 Euro Einmalinvestition plus laufende DSB-Kosten, schliessen aber die haeufigsten Bussgeldrisiken.

Ihre Steuerberaterkanzlei in Ihrer Stadt prüfen

Lokale Analysen für 25 Grossstaedte mit Aufsichtsbehoerde und regionalen Fall-Beispielen.

Mandantenzugriff auf Daten richtig organisieren

Mandanten haben nach Art. 15 DSGVO das Recht auf umfassende Auskunft über ihre gespeicherten Daten. In einer Steuerberaterkanzlei kann das eine umfangreiche Aufgabe werden: Steuererklaerungen, Bescheide, Korrespondenz mit dem Finanzamt, Buchhaltung, Lohnabrechnungen. Die Antwort muss binnen eines Monats erfolgen, bei komplexen Anfragen darf um zwei Monate verlaengert werden. Die Umsetzung erfordert einen strukturierten Prozess: Wer nimmt die Anfrage an? Wie wird authentifiziert (der Mandant ist nicht immer eindeutig)? Wer compiliert die Daten? Wie wird sie uebergeben? DATEV bietet mit "Meine Steuern" eine Portal-Loesung, die viele dieser Aufgaben abbildet. Trotzdem sollte die Kanzlei ein schriftliches Verfahren haben. Praxistipp: Ein jaehrlicher Test der Auskunftsantwort mit einem Mandaten-Dummy hilft, Luecken im Prozess zu finden, bevor ein echter Fall kommt. Wichtig: In Erbschafts- oder Scheidungssituationen können Ehepartner oder Nachkommen Auskunftsanfragen stellen, die aber nicht automatisch berechtigt sind. Die Authentifizierung und die Rechtslage müssen vor der Herausgabe geprueft werden.

Haeufige Fragen zu DSGVO für Steuerberater

Schweigepflicht und DSGVO?

Schweigepflicht nach Paragraph 57 StBerG geht teilweise weiter und bleibt bestehen. Beide parallel.

DATEV DSGVO-konform?

Ja, mit deutschem Rechenzentrum und AVV. Problem oft bei Kanzlei-Konfiguration.

Aufbewahrungsfristen?

10 Jahre Steuerunterlagen, 6 Jahre Lohn, 10 Jahre Mandantenakten.

Welche AVV?

DATEV, IT, Cloud, Newsletter, Bewerber-Mgmt, Terminbuchung. Typisch 6-12.

Mandanten-E-Mail?

TLS plus S/MIME bei sensiblen Inhalten. Portale sicherer.

DSB noetig?

Ab 20 Mitarbeitern oder bei Lohnbuchhaltung. Extern 150-400 Euro/Monat.

Mandanten-Postfach?

DATEV-Portale oder eigene verschluesselte Loesung. Nicht E-Mail-Anhang.

Was droht bei Verstoessen?

Bußgelder 5.000-80.000 Euro, bei Schwerem bis 210.000 Euro. Berufsrechtlich zusaetzlich, bei Schweigepflichtsverletzung strafrechtlich.

Kanzlei-Website jetzt prüfen

Kostenloser DSGVO-Check mit Steuerberatungs-Fokus.

DSGVO-Check starten →

Kanzlei-Inhaber? Enterprise: Kanzlei-Website + DSGVO-Betreuung ab 499 Euro →

Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewaehr.

DSGVO Check für Steuerberater: Mandantenschutz und Lohnbuchhaltung absichern

Kanzlei-Website jetzt prüfen

Warum DSGVO für Steuerberater besonders kritisch ist

Die 10 haeufigsten DSGVO-Verstoesse bei Steuerberatern

1. Unverschluesselter Versand von Steuerbescheiden

2. Lohnabrechnungen an Mandanten per unverschluesselter E-Mail

3. Fehlender AVV mit IT-Dienstleistern

4. Cloud-Nutzung ohne Schrems-II-Massnahmen

5. Bewerberdaten über 6 Monate gespeichert

6. Veraltete Datenschutzerklärung

7. Google Fonts extern

8. Fehlendes Cookie-Banner auf Kanzlei-Website

9. Mandanten-Postfach ohne Sicherheitsmassnahmen

10. Fehlende Mitarbeiterverpflichtung

Echte Bußgeld-Faelle aus der Steuerberater-Branche

DSGVO-Checkliste für Steuerberaterkanzleien

Mitarbeiter-Schulungen als Kernbestandteil

Besondere Herausforderungen nach Kanzlei-Typ

Tools und Software für DSGVO-konforme Steuerberater

Sofort-Massnahmen mit hoher Wirkung

Ihre Steuerberaterkanzlei in Ihrer Stadt prüfen

Mandantenzugriff auf Daten richtig organisieren

Haeufige Fragen zu DSGVO für Steuerberater

Schweigepflicht und DSGVO?

DATEV DSGVO-konform?

Aufbewahrungsfristen?

Welche AVV?

Mandanten-E-Mail?

DSB noetig?

Mandanten-Postfach?

Was droht bei Verstoessen?

Kanzlei-Website jetzt prüfen

Unser Ökosystem — Tools für moderne Dienstleister