0345-78282673
KMGIT GmbH
Steuerberater

Mandantengeheimnis und IT-Dienstleister: § 203 StGB in der täglichen Praxis

Was § 203 StGB für externe IT-Dienstleister in Steuerkanzleien bedeutet — Verschwiegenheitspflicht, AVV, Subunternehmer und praktische Zugriffskonzepte.

Mario Kettner 6 Min. Lesezeit

Wer als externer IT-Dienstleister mit Steuerkanzleien zusammenarbeitet, betritt einen rechtlich besonders sensiblen Raum. Anders als bei einem typischen Handelsunternehmen ist die Verletzung der Verschwiegenheitspflicht in einer Kanzlei nicht nur ein Vertragsbruch, sondern eine Straftat — geregelt in § 203 StGB. Für Steuerberater ist das seit jeher klar; vielen IT-Dienstleistern und Kanzleimitarbeitern, die mit externen IT-Partnern arbeiten, ist das aber nicht in voller Schärfe bewusst.

Wir betreiben seit 2008 IT für Steuerkanzleien. Was wir aus dieser Zeit mitnehmen: § 203 StGB ist kein abstraktes Risiko, sondern bestimmt die Architektur. Berechtigungen, Verträge, Subunternehmerketten und sogar die räumliche Organisation müssen daran ausgerichtet sein.

Was § 203 StGB konkret verlangt

§ 203 StGB stellt das unbefugte Offenbaren von “fremden Geheimnissen” unter Strafe — Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Die Norm gilt für Berufsgeheimnisträger wie Ärzte, Rechtsanwälte und eben Steuerberater.

Seit der Reform durch das “Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen” (in Kraft seit 09.11.2017) gilt die Vorschrift ausdrücklich auch für mitwirkende Personen — explizit eingeschlossen sind IT-Dienstleister. Konkret bedeutet das:

  • Auch der externe IT-Techniker, der bei einem Vor-Ort-Einsatz Zugriff auf Mandantendaten hat, macht sich strafbar, wenn er sie offenbart.
  • Auch der Subunternehmer eines IT-Dienstleisters fällt unter die Vorschrift.
  • Auch eine Cloud-Plattform, deren Mitarbeiter Zugriff auf Mandantendaten haben könnten, ist erfasst.

Die strafrechtliche Verantwortung trifft sowohl den Steuerberater, der die externen Personen einbindet, als auch die mitwirkende Person selbst.

Vier Pflichten für jede externe IT-Zusammenarbeit

Aus § 203 StGB in Verbindung mit Art. 28 DSGVO und § 11 StBerG (Steuerberatungsgesetz) ergeben sich vier konkrete Pflichten für jede externe IT-Beziehung mit einer Kanzlei:

  1. Schriftliche Verschwiegenheitsverpflichtung des IT-Dienstleisters und jeder eingesetzten Person.
  2. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit klar umrissenem Zweck.
  3. Subunternehmer-Klausel — der IT-Dienstleister darf Subunternehmer nur mit gleichwertiger Verpflichtung einsetzen.
  4. Erforderlichkeit der Datenkenntnisnahme — der Zugriff darf nur soweit erfolgen, wie es für die Auftragserfüllung notwendig ist.

Die ersten drei Punkte regelt man in der Vertragsdokumentation. Der vierte Punkt ist der entscheidende technische Punkt — und der wird in der Praxis am häufigsten verletzt.

Erforderlichkeit: das Berechtigungskonzept

Ein IT-Administrator hat technisch oft Zugriff auf alle Daten — auch auf solche, die er für seinen aktuellen Auftrag nicht braucht. Das ist aus § 203-Sicht problematisch. Die saubere Lösung ist ein abgestuftes Berechtigungskonzept:

  • Standard-Wartung: Zugriff auf System-, Server- und Netzwerk-Ebene, aber nicht auf Mandanteninhalte (DATEV-Buchungsbestände, DMS-Inhalte, Mail-Postfächer).
  • Anwendungsbezogene Eingriffe: Zugriff auf konkrete Mandantendaten nur nach ausdrücklicher Anforderung und mit Protokollierung.
  • Notfall-Zugriff: Ein versiegelter “Break-Glass-Account” mit voller Berechtigung, dessen Nutzung protokolliert und an die Kanzleileitung gemeldet wird.

Technisch lässt sich das in einer Microsoft-365-Umgebung über Privileged Identity Management (PIM) umsetzen. Auf der DATEV-Seite über die DATEV-Mandanten-Berechtigungen, die wir typischerweise so konfigurieren, dass externe Techniker keine Mandantenmandate sehen, sondern nur Server- und Anwendungsebene.

Mehr Hintergrund zur Bezugnahme auf Microsoft 365 in unserem Beitrag zu M365 für Steuerkanzleien.

Der AVV — was im Detail drinstehen muss

Ein AVV nach Art. 28 DSGVO ist Pflicht — aber nicht jeder AVV reicht für eine Steuerkanzlei. Wir empfehlen, einen IT-Dienstleister, der eine Kanzlei betreut, vertraglich auf folgende Punkte zu verpflichten:

  • Explizite § 203-Belehrung aller eingesetzten Personen, dokumentiert mit Unterschrift.
  • Einsatzort-Beschränkung: Daten dürfen nur an EU-Standorten verarbeitet werden.
  • Subunternehmer-Liste als Anlage, mit gleichwertiger Verschwiegenheitsverpflichtung jedes Subunternehmers.
  • Lösch- oder Rückgabe-Verpflichtung nach Vertragsende, mit Bestätigungsschreiben.
  • Recht der Kanzlei zur Vor-Ort-Prüfung des IT-Dienstleisters.
  • Schadensersatzklauseln für den Fall der Geheimnis-Verletzung.

Den Mustertext stellen wir auf Anfrage gerne zur Verfügung.

Vor-Ort-Einsätze und Fernzugriff

Vor-Ort-Einsätze in einer Kanzlei sind aus § 203-Sicht meist unproblematisch, solange:

  • Der Techniker schriftlich zur Verschwiegenheit verpflichtet wurde.
  • Der Zugriff auf Mandantendaten auf das notwendige Maß beschränkt ist.
  • Ein Kanzleimitarbeiter den Einsatz begleitet oder zumindest kennt.

Fernzugriff (z.B. über TeamViewer) ist heikler. Wir empfehlen unseren Kunden konsequent:

  • Initiierung nur durch den Kanzleimitarbeiter, nie passive Standverbindungen.
  • Sichtbarkeit aller Aktionen für den Mitarbeiter während der Sitzung.
  • Protokollierung der Sitzungsdauer und der durchgeführten Aktionen.
  • Keine Übermittlung von Mandantendateien über die Fernwartung an die Außenwelt.

Unser eigener Fernzugriff arbeitet nach diesem Prinzip — siehe Fernzugriff.

Subunternehmer — der größte Praxis-Stolperstein

Viele kleinere IT-Dienstleister setzen Subunternehmer ein, ohne dass die betreute Kanzlei das weiß. Aus § 203-Sicht ist das ein erhebliches Risiko — und es ist auch DSGVO-rechtlich problematisch. Wir empfehlen Kanzleien:

  1. Vor jedem Vertragsschluss eine schriftliche Liste der eingesetzten Subunternehmer einzufordern.
  2. Genehmigungsvorbehalt für neue Subunternehmer im Vertrag zu verankern.
  3. Bei Cloud-Anbietern: deren Subunternehmer-Liste regelmäßig zu prüfen (die ist bei Microsoft und DATEV im Trust Center bzw. der Mandantenverwaltung einsehbar).

Wer als IT-Systemhaus seriös arbeitet, gibt seine Subunternehmer-Liste offen heraus — auch das ist ein Auswahlkriterium.

Praxis-Architektur einer mittleren Kanzlei

Für eine 10- bis 15-Personen-Kanzlei sieht eine § 203-konforme Zugriffs-Architektur typischerweise so aus:

  • Kanzlei-eigenes Active Directory als Berechtigungs-Master.
  • Drei IT-Konto-Klassen: Mitarbeiter (mandantenbezogen), Administrator (technisch, ohne Mandanten-Inhalte), Break-Glass (versiegelt, voll).
  • PIM für temporäre Erhöhung von Mitarbeitern und Administratoren.
  • Vollständige Audit-Protokolle im SIEM (Security Information and Event Management) — mindestens 1 Jahr Aufbewahrung, idealerweise 3 Jahre.
  • Externe Techniker ausschließlich über Break-Glass oder über zeitlich befristete PIM-Aktivierung mit dokumentierter Anforderung.

Die Mehrkosten gegenüber einer “alle haben Admin”-Umgebung sind moderat — typischerweise 30–50 € pro Nutzer und Monat als Aufschlag für die zusätzlichen Lizenzen und das Monitoring. Das Risiko-Delta dagegen ist erheblich.

Was bei einem Vorfall zu tun ist

Wenn der Verdacht besteht, dass Mandantengeheimnisse offenbart wurden, ist der zeitliche Ablauf entscheidend:

  1. Sofortige Sicherung der Audit-Logs.
  2. Kanzleileitung informieren, nicht den potentiell betroffenen Mitarbeiter.
  3. Datenschutzbeauftragten einschalten, ggf. externe Rechtsberatung.
  4. Meldepflicht nach Art. 33 DSGVO prüfen (72 Stunden).
  5. Forensische Aufklärung durch einen unabhängigen Spezialisten.

Wir empfehlen, für diesen Fall einen vorbereiteten Notfallplan zu haben — siehe auch unseren Beitrag zum Notfallplan IT-Ausfall in der Kanzlei.

Beratung anfragen

Wir setzen Berechtigungs- und Zugriffskonzepte für Steuerkanzleien regelmäßig um — inklusive AVV-Vorlagen, § 203-Belehrungen und PIM-Konfigurationen. Wenn Sie unsicher sind, ob Ihre aktuelle IT-Zusammenarbeit § 203 StGB standhält, sprechen Sie uns an. Wir prüfen Ihre Verträge und Ihre technische Konfiguration in einem strukturierten Erstgespräch.

Die vollständige Architektur für mandantengeheimnis-konforme IT inkl. AVV-Vorlage und Rollen-Konzept dokumentieren wir auf der Vertikal-Seite Datenschutz und Mandantengeheimnis in der IT. Verwandte Bausteine: IT-Outsourcing für Steuerkanzleien · DATEV-Migration · generische IT-Outsourcing-Leistung.

#StGB #Mandantengeheimnis #AV-Vertrag #Berufsgeheimnis

Weiter lesen

Weiterführende Artikel

Steuerberater

Microsoft 365 für Steuerkanzleien: Lizenz, AVV und DSGVO nach Schrems II

Welcher Microsoft-365-Plan für Steuerkanzleien sinnvoll ist, was im AVV mit Microsoft Irland steht und welche DSGVO-Konstellation nach Schrems II noch trägt.

Artikel lesen Steuerberater

GoBD-konforme Archivierung 2026: Was Finanzämter heute konkret prüfen

Was GoBD-konforme digitale Archivierung 2026 wirklich erfordert — unveränderbare Speicherung, 10-Jahres-Frist, Verfahrensdokumentation, NAS-Architektur.

Artikel lesen Steuerberater

DATEV-Migration Schritt für Schritt: Realistischer Fahrplan für kleinere Kanzleien

Wie eine DATEV-Online-Migration in 3 bis 4 Wochen abläuft: Phasen, GoBD-Aspekte, Risiken und die typischen Stolpersteine kleinerer Kanzleien.

Artikel lesen

Sie haben Fragen?

Persönliche Beratung statt Hotline-Wartemusik.

Rufen Sie uns an oder schreiben Sie kurz — wir melden uns innerhalb eines Arbeitstages mit einer konkreten Einschätzung.

Seit 2008 im Saalekreis · DATEV-erprobt · §203-AVV-Standard.

Beratung anfragen IT-Lösungen für Steuerberater

Können wir Ihnen helfen?

Der IT-Dienstleister für Steuerberater

Anrufen Kontakt