Datenschutz in Steuerberatungs- und Anwaltskanzleien
Kanzleien verarbeiten täglich hochsensible Daten: Jahresabschlüsse, Steuererklärungen, Vermögensaufstellungen, persönliche Lebenssituationen von Mandanten. Das Berufsgeheimnis nach § 57 StBerG und § 43a BRAO schützt diese Informationen strafrechtlich.
Doch Berufsgeheimnis und DSGVO sind keine Gegensätze — sie ergänzen sich. Die DSGVO schafft den datenschutzrechtlichen Rahmen, das Berufsgeheimnis den berufsrechtlichen. Beide müssen eingehalten werden.
Mandantendaten unter der DSGVO
Jeder Mandant, jede Mandantin ist eine betroffene Person im Sinne der DSGVO. Die Verarbeitung ihrer Daten basiert in der Regel auf dem Mandat (Vertragserfüllung, Art. 6 Abs. 1 lit. b) und auf gesetzlichen Pflichten (z. B. steuerliche Aufbewahrungspflichten).
Informationspflichten
Mandanten müssen nach Art. 13 DSGVO über die Datenverarbeitung informiert werden — idealerweise bei Mandatsannahme. Diese Information kann in die Mandatsvereinbarung integriert oder als separates Dokument ausgehändigt werden.
Aufbewahrung und Löschung
Steuerrechtliche Aufbewahrungsfristen (6–10 Jahre) überschneiden sich mit dem Datenschutzgrundsatz der Speicherbegrenzung. Nach Ablauf der Fristen müssen Mandantenakten gelöscht werden — systematisch und dokumentiert.
Ein Löschkonzept für Kanzleien berücksichtigt: steuerliche Fristen, handelsrechtliche Fristen, laufende Rechtsfälle, eigene Rechtssicherungsinteressen.
DATEV und Kanzleisoftware
DATEV ist das Herzstück vieler Steuerkanzleien. Die Nutzung von DATEV-Diensten (Buchführungssoftware, Mein DATEV Portal, DMS) erfordert:
- AVV mit DATEV: DATEV stellt Standardverträge bereit, die Kanzleien abschließen müssen
- Klärung der Datenkategorien: Welche Mandantendaten fließen in DATEV-Systeme?
- Regelung für DATEV-Mitarbeiter: DATEV-Techniker können theoretisch auf Mandantendaten zugreifen — das muss vertraglich geregelt sein
Gleiches gilt für andere Kanzleisoftware (Addison, AGENDA, Simba) und Cloud-Dienste (Microsoft 365, Google Workspace).
Elektronische Akten und Cloud-Speicherung
Immer mehr Kanzleien arbeiten mit elektronischen Akten und Cloud-Dokumentenmanagement. Das ist datenschutzrechtlich grundsätzlich möglich, aber an Anforderungen geknüpft:
- Verschlüsselung: Mandantendaten in der Cloud müssen verschlüsselt übertragen und gespeichert werden
- Serverstandort: Idealerweise EU-Rechenzentren; bei US-Anbietern gelten besondere Anforderungen
- Zugangsschutz: Starke Authentifizierung (2FA) für alle Kanzleimitarbeitenden
- AVV: Mit jedem Cloud-Anbieter, der Zugang zu Mandantendaten hat
Mitarbeiterdaten in der Kanzlei
Kanzleimitarbeitende — Steuerberatungsassistenten, Buchhalter, Sekretariat — müssen auf die Vertraulichkeit der Mandantendaten verpflichtet werden. Das ist nicht nur eine DSGVO-Anforderung, sondern auch berufsrechtlich geboten.
Schriftliche Verpflichtungserklärungen zur Verschwiegenheit sind Standard — und sollten im Zweifelsfall auch die Nutzung privater Geräte und die Heimarbeitsregelungen umfassen.
Mandantenkommunikation per E-Mail
Die meisten Kanzleien kommunizieren per E-Mail mit Mandanten. Das ist datenschutzrechtlich sensibel:
- Unverschlüsselte E-Mails können abgefangen werden
- Steuerliche und rechtliche Dokumente sind besonders schützenswert
- Mandanten sollten über die Risiken informiert und ggf. eine Einwilligung zur unverschlüsselten Kommunikation eingeholt werden
Alternativen: Mandantenportale (DATEV Mein DATEV Portal, andere Secure-File-Transfer-Lösungen).
Unser Angebot für Kanzleien
Wir beraten Steuerberatungs- und Anwaltskanzleien pragmatisch: mit dem Verständnis für die berufsrechtlichen Besonderheiten, die Rolle von DATEV im Kanzleialltag und die Realität kleiner und mittelgroßer Kanzleistrukturen.
Auf Wunsch übernehmen wir die externe DSB-Funktion und sind der erste Ansprechpartner für alle datenschutzrechtlichen Fragen — auch wenn Mandanten Auskunft verlangen.