§203 StGB bei DATEV-Drittanbietern: Der rechtliche Rahmen

Eine Partnerin einer mittelgroßen Steuerkanzlei fragte uns Anfang 2026:

„Wir haben eine AVV mit unserem KI-Anbieter unterschrieben. DSGVO ist abgedeckt. Das reicht doch, oder?" Partnerin, mittelgroße Steuerkanzlei

Das ist die häufigste Fehleinschätzung, die uns in Discovery-Gesprächen begegnet. Sie klingt vernünftig, ist aber juristisch falsch.

AVV regelt die DSGVO. §203 StGB regelt das Berufsgeheimnis. Das sind zwei unterschiedliche Schutzgüter, die von unterschiedlichen Rechtsrahmen erfasst werden. Eine DSGVO-konforme Verarbeitung kann gleichzeitig eine Straftat nach §203 StGB sein. Eine AVV schützt vor Datenschutz-Bußgeldern. Sie schützt nicht vor Freiheitsstrafe bis zu einem Jahr, die §203 StGB androht.

Dieser Artikel erklärt, was Steuerkanzleien im DATEV-Ökosystem konkret brauchen, bevor sie Drittanbieter-Tools einführen. Er ist kein rechtlicher Ratgeber im Einzelfall, sondern ein struktureller Leitfaden, der die typischen Lücken schließt, die in Kanzleien entstehen. Für die Einzelfallprüfung ist ein Rechtsanwalt zuständig.

1. Warum DSGVO allein nicht genügt

Die Kernaussage zuerst, weil sie missverstanden wird und teuer ist: DSGVO und §203 StGB adressieren unterschiedliche Dinge.

• DSGVO (Art. 28, AVV) schützt personenbezogene Daten. Rechtsfolge bei Verstoß: Bußgeld, im Extremfall bis zu 4 Prozent des Jahresumsatzes.
• §203 StGB schützt das Berufsgeheimnis. Rechtsfolge bei Verstoß: Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Persönliche Strafbarkeit des Steuerberaters.

Zwei Beispiele, die den Unterschied zeigen:

Beispiel 1. Ein Cloud-Anbieter hat eine mustergültige AVV, hostet in Frankfurt, ist ISO 27001-zertifiziert und betreibt klare Datenflüsse. DSGVO-konform. Hat der Anbieter jedoch keine schriftliche §203-Geheimhaltungsvereinbarung unterzeichnet und wurde nicht über die strafrechtlichen Folgen einer Pflichtverletzung belehrt, macht sich der Steuerberater persönlich strafbar, sobald Mandantendaten fließen.

Beispiel 2. Ein Mitarbeiter gibt einen anonymisierten Sachverhalt in ChatGPT Free ein. Keine DSGVO-Verletzung, weil keine personenbezogenen Daten. Aber wenn die Anonymisierung nicht zuverlässig alle identifizierenden Merkmale entfernt (Mandantennummer, Branche, Standort, Kanzlei-Kontext), kann §203 trotzdem verletzt sein. Die Anonymisierung muss vollständig sein, nicht nur namens-ausblendend.

Take-away: Beide Instrumente sind notwendig, keines ersetzt das andere. Kanzleien, die nur eine AVV haben, sind strafrechtlich exponiert.

2. Die rechtliche Basis: §203 Abs. 3 und Abs. 4 StGB seit 2017

Die Grundlage für die heutige Rechtslage ist das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen vom 8. November 2017. Diese Novelle hat den Einsatz externer IT-Dienstleister und Cloud-Anbieter bei Berufsgeheimnisträgern erstmals rechtssicher geregelt.

Was die Novelle bringt: Vor 2017 war der Einsatz externer Dienstleister juristisch ein Graubereich. Jede Offenbarung gegenüber Dritten konnte theoretisch strafbar sein. Mit der Novelle wurde die Kategorie der „mitwirkenden Person" geschaffen: Dienstleister, die an der beruflichen Tätigkeit mitwirken, dürfen Mandantengeheimnisse erfahren, soweit dies für die Inanspruchnahme ihrer Leistung erforderlich ist.

Die vier Voraussetzungen, unter denen die Einbindung straffrei bleibt:

1. Erforderlichkeit: Die Kenntnisnahme muss für die ordnungsgemäße Berufsausübung erforderlich sein. Nicht mehr Geheimnisse als nötig.
2. Verpflichtung in Textform: Der Dienstleister wird schriftlich zur Verschwiegenheit verpflichtet.
3. Belehrung: Er wird über die strafrechtlichen Folgen einer Pflichtverletzung belehrt.
4. Sorgfältige Auswahl und Überwachung: Der Steuerberater muss den Dienstleister sorgfältig auswählen und überwachen.

Der entscheidende Umkehrschluss (§203 Abs. 4 Nr. 1 StGB): Unterlässt der Steuerberater die Verpflichtung, macht er sich selbst strafbar, auch wenn der Dienstleister ordnungsgemäß arbeitet und nie etwas offenbart. Der Gesetzgeber bestraft also nicht nur die tatsächliche Offenbarung, sondern bereits die Nachlässigkeit in der vertraglichen Absicherung.

Das ist die Kernaussage, die in Kanzleien am häufigsten übersehen wird: Es reicht nicht, dass „nichts passiert". Die formale Verpflichtung muss vorher dokumentiert sein.

3. §62a StBerG: die berufsrechtliche Parallelnorm

Parallel zur strafrechtlichen Novelle in §203 StGB wurde §62a StBerG eingeführt. Diese Vorschrift ist die berufsrechtliche Spiegelung der Strafnorm für Steuerberater.

Was §62a StBerG sagt: Steuerberater dürfen ohne Einwilligung des Mandanten Dienstleistern Zugang zu Informationen gewähren, die der Verschwiegenheitspflicht unterliegen, vorausgesetzt:

• Die Inanspruchnahme des Dienstleisters ist für die Berufsausübung erforderlich
• Eine schriftliche Verschwiegenheitsvereinbarung liegt vor
• Der Dienstleister wird auf die Verschwiegenheit verpflichtet

Die praktische Bedeutung: §62a StBerG und §203 StGB ergänzen sich. Wer §62a einhält, erfüllt automatisch die Voraussetzungen für die Straffreiheit nach §203. Das ist für Kanzleien die einfachste Merkregel: Berufsrecht einhalten → Strafrecht gedeckt.

Keine Mandanten-Einwilligung nötig. Ein häufiger Irrtum in Discovery-Gesprächen: „Wir müssen erst jeden Mandanten einzeln fragen, ob wir KI einsetzen dürfen." Nein. §62a StBerG macht die individuelle Einwilligung ausdrücklich entbehrlich, wenn die Verpflichtungspflicht erfüllt ist. Die Kanzlei entscheidet, die Mandanten-Einwilligung ist kein Thema.

4. Die DAV-Stellungnahme Nr. 32/2025 und was sie für Steuerberater bedeutet

Im Juli 2025 hat der Deutsche Anwaltverein (DAV) die Initiativ-Stellungnahme Nr. 32/2025 veröffentlicht. Sie klärt viele offene Fragen zum KI-Einsatz bei Berufsgeheimnisträgern.

Obwohl die DAV-Stellungnahme formal Rechtsanwälte adressiert, ist sie auf Steuerberater direkt übertragbar. Beide Berufsgruppen sind Berufsgeheimnisträger nach §203 Abs. 1 Nr. 3 StGB mit identischem strafrechtlichem Schutzbereich.

Die zentralen Aussagen:

• KI-Anbieter als mitwirkende Personen. Cloud-KI-Dienstleister fallen unter die §203-Mitwirkenden-Regelung. Keine rechtliche Grauzone mehr.
• Training-Opt-Out ist Pflicht. Die Verarbeitung von Mandantendaten darf nicht zum Training der Modelle des Anbieters verwendet werden. Das muss vertraglich explizit ausgeschlossen sein.
• Automatisierte Verarbeitung ist zulässig, sofern die strukturellen Anforderungen (mitwirkende Person, Erforderlichkeit, Verpflichtung) erfüllt sind.
• Transparenz gegenüber dem Mandanten als Best Practice, auch wenn sie rechtlich nicht zwingend ist.

Warum das für die DATEV-Ökosystem-Diskussion wichtig ist: Die DAV-Stellungnahme stellt klar, dass der Einsatz von KI-Drittanbietern nicht per se problematisch ist. Es geht um die saubere vertragliche und organisatorische Einbindung. Wer sauber arbeitet, arbeitet zulässig.

5. Was Steuerkanzleien bei DATEV-Drittanbietern konkret prüfen müssen

Im DATEV-Ökosystem arbeiten 2026 viele Drittanbieter: Reisekosten-Tools, HR-Systeme, Rechnungstools, KI-E-Mail-Agenten wie Clara, Dokumentenerkennung, Bankintegrationen. Jeder dieser Drittanbieter, der Mandantendaten berührt, braucht die gleiche rechtliche Einbindung. Der DATEV-Partnerstatus allein ersetzt sie nicht.

Die Prüf-Checkliste vor jeder Tool-Einführung:

Baustein 1: AVV nach Art. 28 DSGVO. Standardvertrag für Auftragsverarbeitung. Pflicht, aber nicht ausreichend.

Baustein 2: §203-Geheimhaltungsvereinbarung mit Strafbelehrung. Der Anbieter wird schriftlich zur Verschwiegenheit verpflichtet und über die strafrechtlichen Folgen einer Pflichtverletzung belehrt. Ohne dieses Dokument: keine Mandantendaten in das Tool.

Baustein 3: Dokumentierte sorgfältige Auswahlentscheidung. Welche Sicherheitszertifizierungen hat der Anbieter? Wo ist das Hosting? Welche Subunternehmer gibt es? Diese Entscheidung muss dokumentiert werden, nicht nur getroffen.

Baustein 4: Technische Mindestanforderungen.

• EU-Hosting: Alle Verarbeitungsschritte in der EU. „Server in Europa" muss konkret belegt werden (z. B. durch Angabe des Rechenzentrums).
• Training-Opt-Out: Vertraglich explizit ausgeschlossen, dass Mandantendaten zum Training verwendet werden.
• Zugriffsbeschränkung: Anbieter-Mitarbeiter haben keinen oder nur dokumentiert-eingeschränkten Zugriff auf Klartextdaten.
• Löschkonzept: Wie lange werden Daten gespeichert, wie wird Löschung sichergestellt, wie lange dauert sie?

Baustein 5: Subunternehmer-Kette. Wenn der Anbieter selbst Unterauftragnehmer einsetzt (z. B. für Hosting, für einzelne KI-Modelle), müssen auch diese in die §203-Vereinbarung eingebunden sein. Die Kette darf nicht an der ersten Stufe abreißen.

Baustein 6: Überwachung. Regelmäßige Prüfung, ob der Anbieter weiter compliant arbeitet. Jährlicher Check-in reicht für die meisten Kanzleien.

Wer diese sechs Bausteine für jedes Tool im DATEV-Ökosystem dokumentiert, arbeitet rechtssicher. Wer einen auslässt, erzeugt eine strukturelle Schwachstelle.

6. Die häufigsten Fehlannahmen in der Praxis

Aus 48 Kanzleigesprächen kristallisieren sich sechs wiederkehrende Fehlannahmen, die wir fast durchgängig korrigieren müssen.

Fehlannahme 1: „Unser DATEV-Partner ist automatisch §203-konform." Falsch. Der DATEV-Partnerstatus regelt technische Schnittstellen, nicht die strafrechtliche Einbindung. Jeder Partner braucht zusätzlich die §203-Geheimhaltungsvereinbarung mit der Kanzlei direkt.

Fehlannahme 2: „Wir haben eine AVV, also sind wir DSGVO- und §203-konform." Falsch. AVV deckt DSGVO ab, nicht §203. Zwei verschiedene Vereinbarungen sind nötig.

Fehlannahme 3: „ISO 27001 reicht als Qualitätsnachweis." ISO 27001 ist ein Sicherheits-Standard, kein Rechtskonformitäts-Nachweis. Nötig, aber nicht hinreichend.

Fehlannahme 4: „Wir anonymisieren, bevor wir etwas in ein Tool eingeben." Manuelle Anonymisierung ist fehleranfällig und nicht skalierbar. Bei einem komplexen Mandat sind oft dutzende identifizierende Merkmale enthalten, die nicht zuverlässig entfernt werden. Juristisch ist manuelle Anonymisierung kein anerkanntes Schutzkonzept.

Fehlannahme 5: „Wenn nichts passiert, ist es egal." Der Umkehrschluss aus §203 Abs. 4 Nr. 1 StGB bestraft die fehlende Verpflichtung, unabhängig davon, ob tatsächlich Geheimnisse offenbart wurden. Die Strafbarkeit greift bereits bei der Nachlässigkeit.

Fehlannahme 6: „Wir müssen jeden Mandanten um Einwilligung fragen." Nein. §62a StBerG macht die Mandanten-Einwilligung ausdrücklich entbehrlich, wenn die Verpflichtungspflicht erfüllt ist.

7. Schatten-KI: das unterschätzte Kanzlei-Risiko

Die Bitkom-Studie 2025 berichtet, dass 25 Prozent der Unternehmen unkontrollierte Schatten-KI haben: Mitarbeiter, die private Accounts (ChatGPT, Copilot, Gemini) für berufliche Aufgaben nutzen, ohne dass die Geschäftsleitung davon weiß.

In Steuerkanzleien ist dieses Risiko besonders gravierend, weil die strafrechtliche Schwelle niedrig liegt. Bereits eine einzige Eingabe mit Mandatsbezug in ein nicht abgesichertes Tool kann §203 StGB erfüllen.

Die SWI-Finance-Studie 2025 zeigt parallel: 91,6 Prozent der Steuerkanzleien bestätigen, dass KI im Berufsalltag angekommen ist. Gleichzeitig haben nur wenige Kanzleien interne Richtlinien, die die erlaubte KI-Nutzung klar regeln. Das ist die gefährliche Lücke.

Was Kanzleien tun sollten:

1. Bestandsaufnahme: Alle Mitarbeiter fragen, welche KI-Tools sie aktuell nutzen. Ehrliche, nicht-bestrafende Abfrage.
2. Interne Richtlinie: Welche Tools sind erlaubt, welche nicht? Was darf eingegeben werden, was nicht?
3. Schulung: Seit Februar 2025 verlangt Art. 4 der EU-KI-Verordnung (AI Act), dass alle Mitarbeiter, die KI-Systeme einsetzen, über ausreichende KI-Kompetenz verfügen. Die Nachweispflicht liegt beim Arbeitgeber.
4. Saubere Tools bereitstellen: Der wirksamste Schatten-KI-Stopper ist eine offizielle, schnelle, gut bedienbare Alternative. Wenn die Kanzlei kein Tool bereitstellt, greifen Mitarbeiter zu privaten Accounts.

8. Wie Clara die §203-Anforderungen im DATEV-Ökosystem erfüllt

Clara ist als KI-E-Mail-Agent für deutsche Steuerkanzleien gebaut. Die §203-Einbindung ist Teil der DNA, nicht Nachrüstung.

Die rechtliche Einbindung bei Clara:

• AVV nach Art. 28 DSGVO wird vor Vertragsabschluss übergeben und unterzeichnet
• §203 Abs. 4 StGB-Geheimhaltungsvereinbarung mit expliziter Belehrung über strafrechtliche Folgen ist Teil des Standardvertrags
• Hosting in der EU mit dokumentiertem Rechenzentrum
• Kein Training der Modelle mit Mandantendaten, vertraglich ausgeschlossen
• Zugriffskontrolle: Clara-Mitarbeiter haben keinen Zugriff auf Klartextdaten, Ausnahmen sind dokumentiert und auditiert
• Subunternehmer-Kette: Alle eingesetzten Unterauftragnehmer sind ebenfalls §203-konform eingebunden

Die technische Einbindung:

• Verarbeitung in Outlook, dem gewohnten Arbeitsumfeld der Kanzlei
• Übergabe strukturierter Dokumente ins DATEV DMS
• Nur lesender Zugriff auf DATEV-Mandantendaten, keine Rückschreibungen auf Kernsysteme
• Middleware-basierte DATEV-Integration, nicht Screenscraping

Das Trust Center von Clara macht alle Zertifikate, AVV, §203-Muster und technischen Dokumentationen transparent zugänglich. Steuerkanzleien müssen sich nicht auf Zusicherungen verlassen, sondern können die Dokumente direkt prüfen.

9. Sechs Fragen, die Steuerkanzleien jedem Drittanbieter stellen sollten

Als komprimierter Evaluationsrahmen für die Compliance-Prüfung:

1. Liegt eine AVV nach Art. 28 DSGVO vor, und können Sie sie uns vor Vertragsabschluss übergeben?
2. Gibt es eine explizite §203-Geheimhaltungsvereinbarung mit Strafbelehrung, und in welcher Form?
3. Wo genau werden die Daten verarbeitet, und werden sie zum Training genutzt?
4. Welche Subunternehmer sind beteiligt, und sind sie ebenfalls §203-eingebunden?
5. Wie ist der Zugriff Ihrer eigenen Mitarbeiter auf Klartextdaten geregelt?
6. Haben Sie Referenzen bei Steuerkanzleien, die die rechtliche Einbindung erfolgreich geprüft haben?

Saubere Antworten in unter fünf Minuten auf alle sechs Fragen sind das Qualitätsindiz. Ausweichende Antworten bei zwei oder mehr Fragen sind das Ausschlusskriterium.

10. Fazit

Der rechtliche Rahmen für KI- und Cloud-Drittanbieter in deutschen Steuerkanzleien ist seit 2017 geklärt, seit der DAV-Stellungnahme 2025 nochmals präzisiert. Die Botschaft ist positiv: KI und Drittanbieter sind zulässig, wenn sie sauber eingebunden werden. Das ist keine juristische Grauzone mehr.

Was Kanzleien brauchen, ist kein rechtliches Sonderwissen, sondern eine strukturelle Checkliste. Drei Dokumente (AVV, §203-Vereinbarung, dokumentierte Auswahl), vier technische Mindestanforderungen (EU-Hosting, Training-Opt-Out, Zugriffsbeschränkung, Löschkonzept) und die Einbindung aller Subunternehmer. Mehr ist es nicht.

Der häufigste Fehler ist nicht böser Wille oder Unkenntnis der Rechtslage. Der häufigste Fehler ist die Annahme, DSGVO-Konformität umfasse automatisch §203. Sie tut es nicht. Wer diesen einen Punkt versteht und entsprechend dokumentiert arbeitet, hat die strukturelle Basis.

Für das DATEV-Ökosystem bedeutet das: Jeder Drittanbieter, auch offizielle DATEV-Partner, braucht die eigenständige §203-Einbindung durch die Kanzlei. Der DATEV-Partnerstatus regelt technische Integration, nicht strafrechtliche Einbindung. Beides muss separat geprüft werden.

Die Steuerkanzlei, die diese Regel verinnerlicht hat und bei jedem Tool konsequent durchzieht, arbeitet rechtssicher. Die Kanzlei, die nur AVV sammelt und sich sicher fühlt, arbeitet strafrechtlich exponiert, ohne es zu wissen.

Dieser Artikel dient der strukturellen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die rechtliche Bewertung Ihrer konkreten Situation konsultieren Sie bitte Ihren Rechtsanwalt.

FAQ

Reicht eine AVV nach DSGVO für den KI-Einsatz in der Steuerkanzlei aus?

Nein. Eine AVV deckt den Datenschutz ab, ersetzt aber nicht die strafrechtlich erforderliche Geheimhaltungsvereinbarung nach §203 Abs. 4 StGB. Beide Vereinbarungen sind notwendig, weil DSGVO und §203 StGB unterschiedliche Schutzgüter adressieren.

Muss ich meine Mandanten um Einwilligung fragen, bevor ich ein KI-Tool einsetze?

Nein. §62a StBerG macht die Mandanten-Einwilligung ausdrücklich entbehrlich, wenn der Dienstleister schriftlich zur Verschwiegenheit verpflichtet und über die strafrechtlichen Folgen belehrt wurde. Die Kanzlei entscheidet, der Mandant muss nicht individuell zustimmen.

Was passiert, wenn ein Mitarbeiter Mandantendaten in ChatGPT eingibt?

Bei Consumer-Versionen (ChatGPT Free, Plus) existiert keine §203-Vereinbarung, Modelltraining ist möglich, die Daten laufen auf US-Servern. Jede Eingabe mit Mandatsbezug kann den Tatbestand des §203 StGB erfüllen. Kanzleien sollten Consumer-KI mit Mandantenbezug ausdrücklich untersagen und stattdessen rechtssicher eingebundene Alternativen bereitstellen.

Macht die DATEV-Partnerschaft eines Anbieters die §203-Prüfung überflüssig?

Nein. Der DATEV-Partnerstatus regelt technische Integration und Schnittstellenqualität, nicht die strafrechtliche Einbindung gegenüber der Kanzlei. Jeder Drittanbieter, auch Premium Partner, braucht die eigenständige §203-Vereinbarung mit der Kanzlei.

Was bedeutet die EU-KI-Schulungspflicht für Steuerkanzleien?

Seit Februar 2025 verlangt Art. 4 EU AI Act, dass alle Mitarbeiter, die KI-Systeme einsetzen, über ausreichende KI-Kompetenz verfügen. Die Nachweispflicht liegt beim Arbeitgeber. Kanzleien sollten regelmäßige KI-Schulungen dokumentieren, besonders wenn KI-Tools produktiv eingesetzt werden.

Wie prüfe ich, ob ein Anbieter auch seine Subunternehmer §203-konform eingebunden hat?

Fragen Sie nach der vollständigen Subunternehmer-Liste (AVV-Anhang) und lassen Sie sich die Verpflichtungskette bestätigen. Seriöse Anbieter legen das transparent dar. Wenn die Antwort vage ist, ist die Kette unterbrochen.

Wenn nichts passiert, ist die fehlende §203-Vereinbarung trotzdem strafbar?

Ja. §203 Abs. 4 Nr. 1 StGB bestraft bereits die Nachlässigkeit bei der vertraglichen Absicherung, unabhängig davon, ob tatsächlich Geheimnisse offenbart wurden. Der Gesetzgeber schützt den strukturellen Rahmen, nicht nur die tatsächliche Offenbarung.

---

Mehr dazu: Pillar: DATEV + KI 2026 · DATEV-Integration für Drittanbieter: Rechtssicher und stabil andocken · DATEV DMS richtig nutzen: Die sieben häufigsten Fehler · DATEV Cloud-Migration 2026 · Pillar: KI-Agenten in der Steuerkanzlei

Quellen: §203 StGB · §62a StBerG · Bitkom-Leitfaden „IT-Einsatz durch Berufsgeheimnisträger" (2018) · Deutscher Anwaltverein, Initiativ-Stellungnahme Nr. 32/2025 (Juli 2025) · Bitkom-Studie 2025 zur Schatten-KI · SWI-Finance-Studie 2025 zur KI-Durchdringung in Steuerkanzleien · Bundessteuerberaterkammer FAQ-Katalog KI (Februar 2026) · Art. 4 EU AI Act · Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter, 8. November 2017.