Steuerkanzleien gehören zu den datenschutzrechtlich sensibelsten Betrieben überhaupt. Nicht weil sie es wollen, sondern weil ihr Kerngeschäft es verlangt: vollständige Einblicke in die finanzielle Lebenssituation ihrer Mandanten.
Wer als Steuerberater oder Kanzlei die DSGVO als Thema für Großkonzerne abtut, unterschätzt das eigene Risiko erheblich. Aufsichtsbehörden prüfen zunehmend auch kleine und mittelgroße Kanzleien. Und die häufigsten Mängel sind nicht technischer Natur, sondern organisatorische Lücken, die sich in wenigen Wochen schließen lassen.
Welche Daten verarbeitet eine Steuerkanzlei?
Die Bandbreite ist außergewöhnlich: Lohnzettel, Kontoauszüge, Kreditverträge, Scheidungsunterlagen mit Unterhaltszahlungen, Krankenhausrechnungen als steuerliche Absetzposten, Behinderungsnachweise für Steuerfreibeträge. All das landet im Datensatz eines einzigen Mandanten.
Besonders sensible Datenkategorien nach Art. 9 DSGVO: Gesundheitsdaten tauchen in Steuerkanzleien regelmäßig auf. Krankheitskosten, Pflegegeld, Behindertengrad oder ärztliche Atteste für außergewöhnliche Belastungen fallen unter den besonderen Schutz des Art. 9 DSGVO. Hier gelten verschärfte Anforderungen an Sicherheit und Rechtsgrundlage.
Dazu kommen Daten von Familienangehörigen der Mandanten (Unterhaltsempfänger, Kinder für Familienbonus), Mitarbeiterdaten bei Lohnverrechnung sowie Bankverbindungen und Vermögensverhältnisse. Kaum eine Branche bündelt so viele personenbezogene Daten in einem einzigen Mandat.
Rechtsgrundlage: Auf was stützt sich die Verarbeitung?
Die DSGVO verlangt für jede Datenverarbeitung eine eindeutige Rechtsgrundlage. In Steuerkanzleien kommen typischerweise drei in Frage:
Grundlage 01
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Die Verarbeitung von Mandantendaten zur Erstellung der Steuererklärung, zur Lohnverrechnung oder zur Buchhaltung stützt sich auf den Steuerberatungsvertrag. Diese Grundlage trägt den Kernbereich der Kanzleitätigkeit. Wichtig: Der Vertrag muss dokumentiert und nachweisbar sein.
Grundlage 02
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Pflichten aus BAO, UStG, EStG und dem Steuerberatungsgesetz verpflichten die Kanzlei zur Aufbewahrung bestimmter Unterlagen. Auch die Übermittlung von Daten an das Finanzamt fällt hierunter. Diese gesetzliche Verpflichtung ersetzt keine Einwilligung und bedarf keiner Zustimmung des Mandanten.
Grundlage 03
Gesundheitsdaten: Ausnahme nach Art. 9 Abs. 2 lit. b DSGVO
Für die Verarbeitung gesundheitsbezogener Daten (Behinderungsnachweise, Krankenhauskostenrechnungen) genügt Art. 6 allein nicht. Es braucht eine Öffnungsklausel aus Art. 9 DSGVO. Die Erfüllung arbeitsrechtlicher oder sozialrechtlicher Pflichten deckt viele Fälle ab. Im Zweifel ist eine ausdrückliche Einwilligung der sicherste Weg.
Verantwortlicher oder Auftragsverarbeiter?
Eine Frage, die viele Steuerkanzleien falsch beantworten: Sind sie gegenüber ihren Mandanten Verantwortliche oder Auftragsverarbeiter?
Die klare Antwort: Steuerkanzleien sind in der Regel eigenverantwortliche Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Sie entscheiden selbst darüber, wie und zu welchem Zweck sie Mandantendaten verarbeiten. Der Mandant ist nicht weisungsbefugt über die Art der Verarbeitung, sondern Auftraggeber einer Dienstleistung.
Was das bedeutet: Die Kanzlei braucht kein AVV vom Mandanten. Sie muss aber selbst ein Verarbeitungsverzeichnis führen, Betroffenenrechte erfüllen und gegenüber Aufsichtsbehörden Rechenschaft ablegen können. Gegenüber eingesetzten Softwareanbietern (z.B. DATEV, BMD, RZL) ist die Kanzlei hingegen Auftraggeber und braucht einen AVV mit diesen Dienstleistern.
Die vier größten Datenschutzrisiken im Steuerrecht
Risiko 01 · Kommunikation
Unverschlüsselte E-Mails mit Steuerdaten
Der Versand von Lohnzetteln, Einkommenssteuererklärungen oder Kontoauszügen per unverschlüsselter E-Mail ist datenschutzrechtlich problematisch. Art. 32 DSGVO verlangt dem Schutzbedarf angemessene technische Maßnahmen. Finanzielle Daten und erst recht Gesundheitsdaten erfordern eine verschlüsselte Übertragung.
Lösung: Ende-zu-Ende-Verschlüsselung per S/MIME oder PGP, sichere Mandantenportale oder zumindest passwortgeschützte PDF-Anhänge mit separater Passwortübermittlung. Viele Kanzleisoftwarelösungen bieten heute integrierte Portale an.
Risiko 02 · Software
Kanzleisoftware ohne Auftragsverarbeitungsvertrag
Wer Mandantendaten in einer Cloud-basierten Kanzleisoftware (DATEV, BMD, RZL, Lexware, weclapp oder ähnliche) verarbeitet, ist Auftraggeber einer Auftragsverarbeitung. Ein schriftlicher AVV mit dem Softwareanbieter ist Pflicht nach Art. 28 DSGVO. Fehlt dieser Vertrag, liegt eine Ordnungswidrigkeit vor, die die Aufsichtsbehörde bei Prüfungen regelmäßig beanstandet.
Lösung: AVV mit jedem eingesetzten Cloud-Anbieter schließen, schriftlich dokumentieren und im Verarbeitungsverzeichnis erfassen.
Risiko 03 · Homeoffice
Zugriff auf Mandantendaten von zu Hause ohne Schutzkonzept
Seit 2020 arbeiten viele Kanzleimitarbeiter zumindest teilweise im Homeoffice. Was fehlt: ein durchdachtes Konzept für den sicheren Fernzugriff. Gemeinsam genutzte Rechner, fehlende VPN-Verbindung, unverschlüsselte lokale Speicherung von Mandantendaten oder private Cloud-Dienste für berufliche Dokumente sind typische Mängel.
Lösung: Klare Homeoffice-Richtlinie, VPN-Pflicht, verschlüsselte Datenträger und eine Regelung zum Umgang mit Ausdrucken und physischen Unterlagen zu Hause.
Risiko 04 · Löschung
Kein Löschkonzept trotz ablaufender Aufbewahrungsfristen
Die BAO schreibt für steuerlich relevante Unterlagen eine Aufbewahrungsfrist von sieben Jahren vor. Nach Ablauf dieser Frist entfällt die Rechtsgrundlage für die Speicherung, und die DSGVO verlangt die Löschung. Die meisten Kanzleien haben keinen automatisierten oder auch nur dokumentierten Prozess dafür. Mandantenakten aus den 2010er Jahren schlummern in Archiven, ohne dass irgendjemand prüft, ob die Aufbewahrungsfrist abgelaufen ist.
Lösung: Löschkonzept erstellen, das Aufbewahrungsfristen aus BAO, UStG und DSGVO zusammenführt. Für jede Datenkategorie festlegen, wann gelöscht wird und wer dafür verantwortlich ist.
Der häufigste Irrtum in Steuerkanzleien: Man glaubt, die steuerrechtliche Aufbewahrungspflicht schützt vor der DSGVO-Löschpflicht. Das stimmt nur während der laufenden Frist. Danach gilt DSGVO uneingeschränkt. Aus der Beratungspraxis von Alexander Kroes
Aufbewahrungsfristen und Löschpflicht: Der Widerspruch auflösen
Das größte Spannungsfeld im Datenschutz für Steuerkanzleien ist der scheinbare Widerspruch zwischen steuerrechtlicher Aufbewahrungspflicht und datenschutzrechtlichem Löschgebot. Die Lösung ist weniger kompliziert als befürchtet.
Während der Aufbewahrungsfrist stützt sich die Speicherung auf Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung). Die Löschpflicht der DSGVO ist in diesem Zeitraum ausgesetzt. Das ist ausdrücklich in Art. 17 Abs. 3 lit. b DSGVO so geregelt.
Nach Ablauf der Aufbewahrungsfrist entfällt diese Ausnahme. Ab diesem Zeitpunkt gilt das Prinzip der Datensparsamkeit (Art. 5 Abs. 1 lit. e DSGVO): Daten sind zu löschen, sobald kein legitimer Zweck mehr besteht.
Praktische Übersicht der relevanten Fristen:
Steuerrelevante Unterlagen (BAO): 7 Jahre ab Jahresende. Buchhaltungsbelege (UGB): 7 Jahre. Korrespondenz mit Steuerbehörden: 7 Jahre. Arbeitsverträge und Lohnverrechnungsunterlagen (AVRAG): 7 Jahre nach Ende des Dienstverhältnisses. Sonstige Mandantenkorrespondenz ohne steuerlichen Bezug: nach DSGVO spätestens nach Ende der Geschäftsbeziehung plus angemessene Aufbewahrungsfrist (z.B. 3 Jahre für Verjährungsschutz).
Technische und organisatorische Maßnahmen für Steuerkanzleien
Art. 32 DSGVO verlangt dem Risiko angemessene technische und organisatorische Maßnahmen. Für Steuerkanzleien bedeutet das konkret:
TOMs · Überblick
Was Steuerkanzleien umsetzen müssen
Wann braucht eine Steuerkanzlei einen Datenschutzbeauftragten?
Nach Art. 37 DSGVO ist ein Datenschutzbeauftragter in Steuerkanzleien dann Pflicht, wenn mindestens 20 Mitarbeiter regelmäßig und dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. In Österreich gilt entsprechend die Regelung des DSG 2018.
Für kleinere Kanzleien besteht keine gesetzliche Pflicht. Dennoch empfiehlt sich die freiwillige Bestellung eines externen DSB, denn: Steuerkanzleien verarbeiten hochsensible Daten und unterliegen damit einem erhöhten Prüfrisiko. Ein externer DSB übernimmt die Dokumentationspflichten, begleitet Prüfungen und entlastet die Kanzleileitung spürbar.
Was ein externer DSB für Steuerkanzleien übernimmt: Aufbau und Pflege des Verarbeitungsverzeichnisses. Prüfung und Abschluss von AVVs mit Softwareanbietern. Erstellung eines Löschkonzepts. Schulung der Mitarbeiter. Begleitung bei Aufsichtsbehördenprüfungen. Beratung bei konkreten Datenschutzfragen aus dem Kanzleialltag.
Was Steuerkanzleien jetzt konkret tun sollten
Die gute Nachricht: Die meisten Datenschutzlücken in Steuerkanzleien lassen sich mit überschaubarem Aufwand schließen. Der erste Schritt ist immer derselbe: den eigenen Ist-Zustand kennenlernen.
Ein Datenschutz-Audit zeigt mit Ampelbewertung, wo die größten Risiken liegen und welche Maßnahme den höchsten Hebel hat. Für kleine Kanzleien gibt es dafür das kostenlose Mini Audit von Datenschutz Kroes: 60 Minuten persönlich vor Ort, mit einem zertifizierten Datenschutzbeauftragten, der den Kanzleialltag kennt.