DSGVO-konforme Mandantenkommunikation: Was Steuerkanzleien beachten müssen

Welche Mandantendaten besonders schützenswert sind

In einer Steuerkanzlei fließen täglich Daten, die weit über einfache Kontaktinformationen hinausgehen. Einkommensverhältnisse, Vermögensaufstellungen, Gesundheitskosten als außergewöhnliche Belastungen, familienrechtliche Sachverhalte oder betriebliche Geheimnisse – all das ist nicht nur steuerlich relevant, sondern auch höchstpersönlich. Die DSGVO stuft bestimmte Kategorien als besonders sensibel ein (Art. 9 DSGVO), doch auch „gewöhnliche" Finanzdaten unterliegen dem allgemeinen Schutzgebot des Art. 5 DSGVO: Sie müssen vertraulich, integer und vor unbefugtem Zugriff gesichert sein.

Hinzu kommt die berufsrechtliche Dimension: Steuerberaterinnen und Steuerberater sind nach § 57 Abs. 1 StBerG zur Verschwiegenheit verpflichtet. Ein Verstoß kann nach § 203 StGB strafrechtliche Konsequenzen haben. Die DSGVO und das Berufsrecht greifen hier ineinander: Was berufsrechtlich verschwiegenheitspflichtig ist, genießt auch datenschutzrechtlich erhöhten Schutz.

DSGVO-Pflichten in der Kommunikation

Art. 32 DSGVO verpflichtet Verantwortliche, „geeignete technische und organisatorische Maßnahmen" zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für die Mandantenkommunikation bedeutet das konkret: Daten dürfen nicht unverschlüsselt über offene Kanäle übertragen werden. Einfache E-Mails ohne Ende-zu-Ende-Verschlüsselung gelten datenschutzrechtlich schon länger als problematisch; Aufsichtsbehörden haben dies in verschiedenen Orientierungshilfen bekräftigt.

Art. 25 DSGVO fordert darüber hinaus „Datenschutz durch Technikgestaltung" (Privacy by Design): Systeme sollen so gebaut sein, dass sie von Haus aus möglichst wenig Daten verarbeiten. Dazu gehört auch das Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 lit. c DSGVO – es dürfen nur jene Daten erhoben und gespeichert werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Gerade in der flüchtigen Alltagskommunikation – einem kurzen Rückruf, einer Dateiübermittlung, einer Frage zur Abgabefrist – entstehen häufig Aufzeichnungen, die über das notwendige Maß hinausgehen.

• Verschlüsselung der Übertragung (Art. 32 DSGVO): Kommunikationskanäle müssen technisch abgesichert sein.
• Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO): Nur zwingend notwendige Daten dürfen gespeichert werden.
• Privacy by Design (Art. 25 DSGVO): Datenschutz ist in die Systemarchitektur einzubauen, nicht nachträglich aufzusetzen.
• Verarbeitungsverzeichnis (Art. 30 DSGVO): Kommunikationstools sind als Verarbeitungstätigkeiten zu dokumentieren.
• Auftragsverarbeitung (Art. 28 DSGVO): Werden Drittanbieter eingesetzt, ist ein Auftragsverarbeitungsvertrag erforderlich.

Ob und in welchem Umfang weitere Maßnahmen erforderlich sind, hängt vom Einzelfall ab. Steuerkanzleien sollten ihren betrieblichen Datenschutzbeauftragten – sofern bestellt – frühzeitig einbeziehen und den gewählten Kommunikationskanal im Verarbeitungsverzeichnis dokumentieren.

Wo E-Mail und Mandantenportale an ihre Grenzen stoßen

E-Mail ist in Steuerkanzleien nach wie vor das meistgenutzte Kommunikationsmittel – und gleichzeitig ein strukturelles Datenschutzproblem. Ohne S/MIME- oder PGP-Verschlüsselung werden Nachrichten im Klartext übertragen und auf Mailservern gespeichert, die Angriffsziele darstellen. Selbst wenn die Übertragung per TLS abgesichert ist, bleiben Nachrichten dauerhaft beim Anbieter liegen – oft jahrelang. Das widerspricht dem Grundsatz der Datensparsamkeit, wenn diese Kopien für die eigentliche Steuerberatung gar nicht mehr benötigt werden.

Mandantenportale versprechen mehr Sicherheit und sind für die strukturierte Dokumentenablage auch sinnvoll. Doch auch hier entstehen zentrale Datenkopien: Jedes hochgeladene Dokument, jede Nachricht, jedes Protokoll eines Gesprächsverlaufs liegt auf den Servern des Anbieters. Wird der Anbieter kompromittiert oder stellt seinen Betrieb ein, entstehen unmittelbare Risiken für die Vertraulichkeit. Für den laufenden, informellen Austausch – Terminabsprachen, kurze Rückfragen, spontane Dateiübergaben – sind schwergewichtige Portale außerdem oft zu umständlich, was dazu führt, dass Mitarbeitende auf unsichere Alternativen ausweichen.

Ein weiteres praktisches Problem: Mandantinnen und Mandanten müssen sich für Portale registrieren und ein Konto anlegen. Der damit verbundene Aufwand senkt die Akzeptanz, besonders bei älteren oder weniger technikaffinen Klienten. Eine nahtlose, sichere Kommunikation erfordert deshalb Lösungen, die geringe Hürden mit hohem Datenschutzniveau verbinden.

Datensparsamkeit als Architektur: nichts speichern als Prinzip

Der wirksamste Schutz vor Datenpannen ist oft der, dass keine Daten vorhanden sind, die gestohlen oder missbräuchlich genutzt werden könnten. Dieses Prinzip – technisch als „Zero Storage" oder „Privacy by Design" beschrieben – geht über klassische Verschlüsselung hinaus: Es geht nicht nur darum, Daten sicher zu übertragen, sondern sie erst gar nicht auf fremden Servern zu hinterlassen.

Peer-to-Peer-Kommunikation setzt genau hier an. Bei einer echten P2P-Verbindung fließen Daten direkt von Gerät zu Gerät – ohne einen zentralen Server, der als Vermittler und potenzieller Datenspeicher fungiert. Der Anbieter hat technisch keinen Zugriff auf Inhalte, weil er gar nicht im Datenfluss sitzt. Auch Metadaten wie Gesprächsinhalt, Teilnehmerlisten oder übertragene Dokumente werden nicht protokolliert, wenn die Architektur das von vornherein ausschließt.

COVANAN ist ein Beispiel für eine solche Architektur: Chat, Sprach- und Videogespräche sowie Dateiübertragungen laufen direkt zwischen den Endgeräten (WebRTC). Der Verschlüsselungsschlüssel existiert ausschließlich auf den Geräten der Kommunikationsteilnehmer – er wird nicht an einen Server übermittelt und ist deshalb für Dritte nicht rekonstruierbar. Chatverlauf, Dateien und Gesprächsinhalte werden auf den COVANAN-Servern nicht gespeichert. Für die Mandantin oder den Mandanten entsteht kein Aufwand: Ein Klick auf den geteilten Link genügt, ohne App-Installation oder Kontoerstellung.

Für Steuerkanzleien kann ein solcher Ansatz helfen, die angreifbare Datenbasis strukturell zu verkleinern. Wer technisch gar keine zentralen Kopien anlegt, muss diese auch nicht löschen, schützen oder im Falle eines Datenlecks melden. Das berührt unmittelbar die Anforderungen aus Art. 5 und Art. 25 DSGVO. Ob ein bestimmtes Tool im Einzelfall den spezifischen Compliance-Anforderungen der Kanzlei genügt, sollte dennoch mit dem Datenschutzbeauftragten und ggf. juristischem Beistand geprüft werden – pauschale Aussagen verbieten sich angesichts unterschiedlicher Kanzleistrukturen und Mandantenbeziehungen.

Wichtig ist auch die Unterscheidung zwischen Alltagskommunikation und Archivpflichten: Steuerrechtlich relevante Dokumente müssen nach § 147 AO aufbewahrt werden. Datensparsamkeit bedeutet nicht, Aufbewahrungspflichten zu umgehen, sondern jene Kommunikation, die keine dauerhaften Speicherpflichten auslöst, ohne bleibende Datenspuren abzuwickeln.