0345-78282673
Termin vereinbaren
KMGIT GmbH

Steuerberater · Datenschutz

Datenschutz und Mandantengeheimnis in der IT

Wie eine Steuerkanzlei §203 StGB Mandantengeheimnis IT-technisch durchsetzt — Zugriffsrechte, AVV-Pflichten, Sub-Auftragsverarbeiter-Klauseln und Awareness in der Praxis.

Zurück zu IT-Lösungen für Steuerberater

§203 StGB stellt das Mandantengeheimnis unter Strafrechtsschutz — eine Verletzung kann mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe geahndet werden. In der IT bedeutet das: Sie müssen technisch nachweisbar verhindern, dass Unbefugte Zugriff auf Mandantendaten bekommen, und Sie müssen jedes IT-bezogene Verschwiegenheits-Risiko aktiv managen.

Vier Säulen des IT-seitigen Mandantenschutzes

1. Zugriffs-Hygiene

Jede:r Mitarbeiter:in bekommt nur die Berechtigungen, die er/sie für die aktuelle Aufgabe braucht. Sachbearbeiter:innen sehen nur ihre Mandate, Lohnbuchhaltung sieht keine Bilanzkonten anderer Mandate, und so weiter. Wir richten Rollen-basierte Berechtigungen in DATEV, Microsoft 365 und auf der Datei-Server-Ebene ein. Berechtigungen werden mindestens jährlich überprüft.

2. AVV-Vertragslandschaft

Wer als externer Dienstleister auf Mandantendaten zugreifen könnte — auch nur theoretisch — braucht einen AVV nach Art. 28 DSGVO. Das gilt für:

  • Ihr IT-Systemhaus (wir, KMGIT — AVV-Vorlage liegt bereit)
  • Microsoft Irland Operations Ltd. (für M365 / Azure)
  • DATEV eG (selbst wenn DATEV Hilfsmittel-Anbieter ist, nicht Auftragsverarbeiter im engeren Sinn — gesonderter Verarbeitungs­vertrag empfohlen)
  • Steuerberater-Mandanten-Portale (z. B. DATEV-Kommunikation, DocuWare)
  • Ggf. Reinigungs­firmen, wenn diese Zugriff auf gesperrte Räume erhalten

3. Sub-Auftragsverarbeiter-Liste

Wir verpflichten uns gegenüber Ihnen, eine aktuelle Liste aller Sub-Auftragsverarbeiter zu führen — also der Drittanbieter, deren Leistungen wir zur Erbringung unserer Aufgabe verwenden. Sie erhalten die Liste auf Anfrage. Bei Wechseln informieren wir Sie vorab.

4. Awareness und Schulung

Die meisten Datenschutz-Vorfälle entstehen nicht durch Technik, sondern durch menschliche Fehler: falsch adressierte Mails, USB-Sticks im Café vergessen, schwache Passwörter, Phishing-Klicks. Wir bieten — auf Anfrage — eine 2-stündige Mitarbeitenden-Schulung vor Ort. Inhalte: Phishing-Erkennung, Passwort-Hygiene, sichere Mandanten-Kommunikation, Vorfalls-Meldung im eigenen Haus.

Was bei einem Datenleck zu tun ist

DSGVO Art. 33: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnisnahme. DSGVO Art. 34: Bei voraussichtlich hohem Risiko für Betroffene zusätzliche direkte Benachrichtigung der Betroffenen.

Erste Schritte konkret:

  1. Vorfall isolieren — betroffene Systeme vom Netz trennen, Zugriffe sperren
  2. Beweis­sicherung — Logs, Mails, Zeitstempel dokumentieren
  3. Wir rufen — unsere 24h-Notfall-Hotline ist eingerichtet für genau diese Fälle
  4. Innerhalb 24 Stunden: Bewertung mit Ihrem DSB, ob Meldepflicht greift
  5. Innerhalb 72 Stunden: ggf. Meldung an Aufsichtsbehörde (Landesbeauftragte:r für den Datenschutz Sachsen-Anhalt)
  6. Lessons Learned — schriftliche Auswertung, Anpassung der Verfahrens­dokumentation

Was wir Ihnen mitgeben

Ein dokumentiertes IT-Sicherheits- und Datenschutz-Konzept ist nicht nur Compliance-Pflicht — es ist auch praktisches Werkzeug. Bei Mandanten-Audits, Versicherungs­anfragen oder DSGVO-Audits müssen Sie technisch nachweisen können, wie Sie Mandantenschutz organisieren. Wir liefern die Vorlagen und betreiben die Technik. Sie konzentrieren sich auf Ihre eigentliche Arbeit.

Sehen Sie sich auch unsere Leistungen IT-Outsourcing und Monitoring an — oder kontaktieren Sie uns für eine konkrete Einschätzung Ihrer aktuellen Mandanten­schutz-Architektur.

Konkret im Liefer-Umfang

Was Sie konkret bekommen

  • 01 Rollen- und Berechtigungs-Konzept für Mandantendaten — wer darf was sehen, ändern, exportieren
  • 02 AVV-Verträge nach Art. 28 DSGVO mit jedem externen Dienstleister, inkl. uns
  • 03 Sub-Auftragsverarbeiter-Liste (Microsoft, DATEV, ggf. weitere) — aktuell gepflegt
  • 04 MFA-Pflicht für alle Mitarbeiter:innen und Mandanten-Portale
  • 05 Verschlüsselte Mandanten-Kommunikation (S/MIME oder Mandanten-Portal)
  • 06 Vorfalls-Konzept bei Verdacht auf Datenleck — Meldepflicht innerhalb 72 Stunden

FAQ

Häufige Fragen

01 Brauchen wir einen separaten Datenschutz-Beauftragten?

Bei Steuerkanzleien mit mehr als 20 Personen, die regelmäßig personen­bezogene Daten verarbeiten, ja — §38 BDSG. Bei kleineren Kanzleien empfiehlt sich oft eine externe DSB-Bestellung. Wir vermitteln Ihnen Kontakt zu zertifizierten externen Datenschutz-Beauftragten in Sachsen-Anhalt.

02 Wir nutzen Sie als IT-Dienstleister — was muss vertraglich geregelt sein?

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Darin: Gegenstand und Dauer der Verarbeitung, Art der Daten, Pflichten beider Seiten, Sub-Auftragsverarbeiter-Erlaubnis, Lösch- und Rückgabe-Konzept nach Vertragsende. KMGIT stellt einen geprüften AVV-Standard zur Verfügung — Sie können ihn mit Ihrem DSB oder Anwalt nochmal abstimmen.

03 Ein:e Mitarbeiter:in verlässt die Kanzlei. Welche Schritte unternehmen wir IT-seitig?

Wir empfehlen ein dokumentiertes Offboarding-Verfahren: (1) Konto sofort deaktivieren beim letzten Arbeitstag, (2) Mail-Forwarding für 30 Tage einrichten, (3) Berechtigungen in DATEV, M365, NAS prüfen und entziehen, (4) Mobiles Gerät zurückfordern + remote wipe falls notwendig, (5) Schriftliche Bestätigung der Daten-Rückgabe vom Mitarbeitenden.

04 Was bei einem Verdacht auf Datenleck?

DSGVO Art. 33 schreibt eine Meldung an die Aufsichtsbehörde innerhalb 72 Stunden vor — gerechnet ab Kenntnisnahme. Wir helfen unseren Vertragskunden bei der Ersteinschätzung, dokumentieren den Vorfall technisch und unterstützen bei der Meldung. Wichtig: Sofort die Notfall-Hotline anrufen, nicht warten.

05 Müssen wir Mandanten-Mails verschlüsseln?

Bei besonders sensiblen Inhalten (z. B. Lohnabrechnungen, Selbstanzeigen) wird Ende-zu-Ende-Verschlüsselung dringend empfohlen — entweder via S/MIME-Zertifikat oder über ein Mandanten-Portal mit verschlüsseltem Download. Wir richten beides ein.

Mehr aus dieser Reihe

Weitere Themen für Steuerkanzleien

Alle Themen ansehen

Steuerberater

DATEV-Migration

Seite öffnen

Steuerberater

GoBD-konforme Archivierung

Seite öffnen

Steuerberater

Microsoft 365 für Kanzleien

Seite öffnen

Steuerberater

IT-Outsourcing Steuerkanzlei

Seite öffnen

Steuerberater

Backup-Strategie

Seite öffnen

Steuerberater

Warum KMGIT (Vergleich)

Seite öffnen

Persönliche Beratung

Sie möchten individuell beraten werden?

Nehmen Sie doch gleich Kontakt mit uns auf — wir melden uns innerhalb eines Werktages zurück.

Jetzt Kontakt aufnehmen 0345-78282673

Können wir Ihnen helfen?

Der IT-Dienstleister für Steuerberater

Anrufen Kontakt