Verschwiegenheitspflicht und digitale Kommunikation (§ 203 StGB)

Was die Verschwiegenheitspflicht umfasst

Die Verschwiegenheitspflicht des Steuerberaters ist in § 57 Abs. 1 StBerG verankert: Steuerberater sind verpflichtet, über alle Tatsachen Stillschweigen zu bewahren, die ihnen im Zusammenhang mit ihrer Berufstätigkeit bekannt geworden sind. Der Schutzbereich ist weit gefasst – erfasst sind nicht nur Geschäftszahlen oder Steuererklärungen, sondern sämtliche Informationen, die der Mandant im Vertrauen auf die Diskretion seines Beraters mitgeteilt hat.

Flankierend dazu schützt § 203 StGB diese Pflicht strafrechtlich: Wer unbefugt ein fremdes Geheimnis offenbart, das ihm in seiner Eigenschaft als Angehöriger eines Berufs mit gesetzlich geregelter Verschwiegenheitspflicht anvertraut oder bekannt geworden ist, macht sich strafbar. Steuerberater gehören ausdrücklich zum geschützten Personenkreis.

§ 203 StGB und digitale Kanäle

Die Reform des § 203 StGB im Jahr 2017 hatte einen zentralen praktischen Hintergrund: Kanzleien und Berufsträger arbeiten in der Praxis mit externen Dienstleistern zusammen – IT-Betreiber, Cloud-Anbieter, Softwarehäuser. Der Gesetzgeber hat diese Realität anerkannt und in § 203 Abs. 3 StGB geregelt, dass die Offenbarung gegenüber „mitwirkenden Personen" und Dienstleistern nicht automatisch strafbar ist – vorausgesetzt, diese Personen werden ihrerseits zur Verschwiegenheit verpflichtet.

Daraus folgt: Sobald ein externer Anbieter technisch in der Lage ist, auf Mandantendaten zuzugreifen – etwa weil Nachrichten auf seinen Servern im Klartext gespeichert sind oder weil er die Verschlüsselungsschlüssel verwaltet –, ist dieser Anbieter im Sinne des § 203 StGB in das Geschehen einbezogen. Das gilt für viele gängige Dienste: E-Mail-Provider ohne Ende-zu-Ende-Verschlüsselung, Collaboration-Tools, die Gesprächsinhalte in der Cloud ablegen, oder Messenger, deren Betreiber theoretisch mitlesen könnten.

Eine vertragliche Vereinbarung zur Verschwiegenheit mit dem Dienstleister kann das Risiko zwar mindern, schließt es jedoch nicht vollständig aus. Sie setzt zudem voraus, dass der Anbieter einer solchen Vereinbarung zustimmt – was bei internationalen Großanbietern oft an deren allgemeinen Geschäftsbedingungen scheitert. Hinzu kommt: Ein Vertrag schützt nicht vor behördlichen Zugriffen oder Datenlecks beim Anbieter.

Typische Stolperfallen

In der Praxis entstehen Verstöße gegen die Verschwiegenheitspflicht selten durch grobe Fahrlässigkeit, sondern durch die unreflektierte Nutzung alltäglicher Kommunikationsmittel. Folgende Konstellationen treten häufig auf:

• Unverschlüsselte E-Mail: Standard-E-Mail überträgt Nachrichten oft ohne durchgehende Verschlüsselung. Inhalte können auf Mailservern zwischengespeichert und – je nach Anbieter und Standort – von Dritten eingesehen werden.
• Consumer-Messenger für Mandantenkommunikation: Dienste wie WhatsApp oder iMessage sind für den privaten Gebrauch konzipiert. Metadaten, Backups und Adressbuchzugriffe können Mandantenbeziehungen für den Anbieter sichtbar machen.
• Cloud-Dienste mit Anbieterschlüsseln: Wer Dokumente in einem Cloud-Speicher ablegt, dessen Anbieter die Schlüssel verwaltet, räumt diesem technisch die Möglichkeit ein, auf die Inhalte zuzugreifen.
• Videokonferenz-Tools mit Aufzeichnungsspeicherung: Manche Anbieter speichern Gesprächsaufzeichnungen oder Transkripte serverseitig – ein erhebliches Risiko bei der Beratung zu sensiblen steuerlichen Sachverhalten.
• Fehlende Auftragsverarbeitungsverträge: Selbst wenn ein Dienst technisch sicher wäre, fehlt ohne einen entsprechenden Vertrag nach Art. 28 DSGVO die datenschutzrechtliche Grundlage für die Verarbeitung personenbezogener Mandantendaten.

Anforderungen an ein sicheres Tool

Aus den beschriebenen rechtlichen Anforderungen lassen sich konkrete technische Mindestmerkmale ableiten, die ein Kommunikationstool für die Mandantenkommunikation erfüllen sollte:

• Ende-zu-Ende-Verschlüsselung: Nachrichten und Gesprächsinhalte dürfen nur beim Sender und beim Empfänger im Klartext vorliegen. Der Anbieter darf zu keinem Zeitpunkt technischen Zugang zu den Inhalten haben.
• Schlüsselhoheit beim Nutzer: Die Verschlüsselungsschlüssel dürfen nicht auf Servern des Anbieters gespeichert oder von ihm verwaltet werden. Nur so lässt sich ausschließen, dass ein Dritter – auch der Anbieter selbst – die Kommunikation entschlüsseln könnte.
• Keine serverseitige Speicherung von Inhalten: Gesprächsverläufe, Dateien und Kontaktbeziehungen sollten nach dem Gespräch nicht auf Servern verbleiben.
• Peer-to-Peer-Übertragung: Wenn Daten direkt zwischen den Geräten der Beteiligten ausgetauscht werden, gibt es schlicht keine zentrale Stelle, die theoretisch Einblick nehmen könnte.
• Serverstandort und Rechtsrahmen: Soweit Infrastruktur benötigt wird (etwa für die initiale Verbindungsvermittlung), sollte sie dem deutschen oder europäischen Rechtsrahmen unterliegen.
• Keine Registrierungspflicht für Mandanten: Muss ein Mandant zunächst ein Konto anlegen, entstehen Daten auf einem fremden Server, bevor das eigentliche Gespräch beginnt.

Ein technisch besonders vorteilhafter Ansatz ist die Peer-to-Peer-Architektur mit clientseitiger Verschlüsselung: Wenn der Kommunikationsanbieter konstruktionsbedingt keinen Zugriff auf Inhalte hat – nicht weil er es verspricht, sondern weil der Schlüssel nie seinen Server erreicht –, entfällt das Problem der „mitwirkenden Person" im Sinne des § 203 Abs. 3 StGB weitgehend. Der Anbieter ist dann technisch nicht in der Lage, etwas zu offenbaren, was er gar nicht kennt. Das ist ein strukturell anderer Ausgangspunkt als der bloße Abschluss eines Verschwiegenheitsvertrags mit einem Cloud-Betreiber, der tatsächlich Zugang zu den Daten hätte.

Für die Praxis bedeutet das: Bei der Auswahl eines Kommunikationstools sollte nicht nur auf das Marketingversprechen „verschlüsselt" geachtet werden, sondern auf die Frage, wer die Schlüssel verwaltet und ob der Anbieter überhaupt technisch in der Lage wäre, auf Gesprächsinhalte zuzugreifen. Kanzleien, die regelmäßig sensible steuerliche Sachverhalte besprechen – Betriebsprüfungen, Restrukturierungen, persönliche Vermögenssituationen –, haben ein erhöhtes Interesse daran, diese Frage klar beantworten zu können.

Hinweis: Dieser Beitrag bietet eine allgemeine Orientierung und ersetzt keine individuelle rechtliche Beratung. Für berufsrechtliche Fragen zur konkreten Ausgestaltung der Mandantenkommunikation empfiehlt sich die Rücksprache mit der zuständigen Steuerberaterkammer.