§203 StGB und Cloud-KI: Rechtliche Analyse für Steuerkanzleien
91,6 % der Steuerkanzleien bestätigen, dass KI in ihrem Berufsalltag angekommen ist (SWI Finance 2025). In Beratungsgesprächen zeigt sich jedoch ein wiederkehrendes Muster: Kanzleiinhaber fragen nach „Datenschutz", meinen aber ein Problem, das weit über die DSGVO hinausgeht. §203 StGB schützt nicht personenbezogene Daten, sondern Mandantengeheimnisse, und stellt deren unbefugte Weitergabe unter Strafe. Dieser Artikel analysiert, welche vertraglichen und technischen Voraussetzungen Cloud-KI erfüllen muss, damit Ihre Kanzlei §203-konform arbeitet.
Warum ein AV-Vertrag allein Ihre Kanzlei nicht schützt
Die Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO ist das Standardinstrument für den datenschutzkonformen Einsatz von Cloud-Diensten. Für Steuerberater reicht sie nicht aus. Der Grund liegt in zwei unterschiedlichen Schutzgütern, die von zwei getrennten Rechtsrahmen erfasst werden.
Die DSGVO schützt personenbezogene Daten: Name, Adresse, Steuernummer. §203 StGB schützt Berufsgeheimnisse: jede Information, die im Zusammenhang mit dem Mandat steht, einschließlich der Tatsache, dass ein Mandatsverhältnis überhaupt besteht (§57 Abs. 1 StBerG). Ein Cloud-KI-Anbieter, der eine AVV unterzeichnet hat, ist datenschutzrechtlich abgesichert. Strafrechtlich ist er das nicht automatisch.
| Kriterium | AVV nach DSGVO Art. 28 | Geheimhaltungsverpflichtung nach §203 Abs. 4 StGB |
|---|---|---|
| Schutzgut | Personenbezogene Daten | Mandantengeheimnisse (Berufsgeheimnisse) |
| Rechtsgrundlage | DSGVO, deutsches BDSG | §203 StGB, §57 StBerG, §62a StBerG |
| Form | Schriftform oder elektronisch | Textform mit Belehrung über Straffolgen |
| Folge bei Verstoß | Bußgeld bis 20 Mio. EUR oder 4 % Jahresumsatz | Freiheitsstrafe bis ein Jahr oder Geldstrafe |
| Subunternehmer | Genehmigungspflicht | Verpflichtungskette bis zum letzten Glied |
| Reicht allein aus? | Nur für den Datenschutz | Nur für das Berufsgeheimnis |
Aus unserer Beratungspraxis: Bei einem unserer Kunden hat der Datenschutzbeauftragte genau diese Lücke identifiziert. Die Entscheidung für ASCADI, die Multi-LLM-Plattform von Visionary Data, fiel nicht über ein Feature-Vergleich, sondern über die Zusatzvereinbarung im AVV, die eine Geheimhaltungsverpflichtung nach §203 Abs. 4 StGB enthält. Ein Detail, das in der Standardprüfung vieler KI-Anbieter schlicht nicht vorkommt.
Dürfen Steuerberater Cloud-KI nutzen, ohne sich strafbar zu machen?
Ja. Die Rechtsgrundlage dafür existiert seit der Novellierung des §203 StGB im Jahr 2017. Seitdem dürfen Berufsgeheimnisträger externe Dienstleister als „sonstige mitwirkende Personen" einbinden (§203 Abs. 3 Satz 2 StGB). Das schließt Cloud-KI-Anbieter ausdrücklich ein. Der Bitkom-Leitfaden „IT-Einsatz durch Berufsgeheimnisträger" (2018) benennt SaaS-Anbieter explizit als mitwirkende Personen im Sinne des Gesetzes.
Die Straffreiheit ist an drei Voraussetzungen geknüpft: Die Einbindung muss für die ordnungsgemäße Berufsausübung erforderlich sein. Der Dienstleister muss in Textform zur Geheimhaltung verpflichtet und über die strafrechtlichen Folgen einer Pflichtverletzung belehrt werden. Und der Berufsgeheimnisträger muss den Dienstleister sorgfältig auswählen und überwachen.
Der Umkehrschluss ist entscheidend: Unterlässt der Steuerberater die Verpflichtung, macht er sich nach §203 Abs. 4 Nr. 1 StGB selbst strafbar. Der Gesetzgeber bestraft also nicht nur die unbefugte Offenbarung, sondern bereits die Nachlässigkeit bei der vertraglichen Absicherung.
DAV-Stellungnahme Nr. 32/2025: Automatisierte Verarbeitung ist kein Offenbaren
Zusätzliche Klarheit bringt die Initiativ-Stellungnahme Nr. 32/2025 des Deutschen Anwaltvereins (DAV) vom Juli 2025. Die Stellungnahme wurde von den Ausschüssen Berufsrecht und Informationsrecht erarbeitet und hat für die gesamte Debatte um KI und Berufsgeheimnisschutz eine hohe Signalwirkung.
Die Kernaussage: Automatisierte Verarbeitung ohne Klartexteinsicht durch Mitarbeiter des Anbieters ist kein „Offenbaren" im Sinne des §203 StGB. Wenn ein KI-Modell Mandantendaten verarbeitet, ohne dass ein Mensch auf Seiten des Anbieters diese Daten im Klartext einsehen kann, liegt kein strafbares Verhalten vor. Der DAV begründet das mit dem Wortlaut des §203 StGB: „Offenbaren" setzt voraus, dass ein Dritter tatsächlich Kenntnis erlangt. Rein maschinelle Verarbeitung erfüllt diesen Tatbestand nicht.
Was das für die Praxis bedeutet: Die pauschale Forderung nach Ende-zu-Ende-Verschlüsselung, die den Einsatz von Cloud-KI unzumutbar erschweren würde, wird vom DAV als praxisfern abgelehnt. Das entbindet nicht von der Verpflichtungspflicht nach §203 Abs. 4 StGB, denn die Möglichkeit der Kenntnisnahme reicht nach herrschender Meinung bereits aus. Es stärkt aber die Position von Kanzleien, die Cloud-KI-Plattformen einsetzen, bei denen die Daten zwar serverseitig verarbeitet, aber nicht durch Mitarbeiter des Anbieters eingesehen werden.
Diese Position betrifft formal Rechtsanwälte, ist aber auf Steuerberater direkt übertragbar: Beide sind Berufsgeheimnisträger nach §203 Abs. 1 Nr. 3 StGB mit identischem strafrechtlichem Schutzbereich. Die Steuerberaterkammer Niedersachsen, die mit ihrem KI-Forum (bisher sechs Ausgaben, zuletzt Juli 2025, über 100 Teilnehmer) eine Vorreiterrolle einnimmt, hat ähnliche Einschätzungen in ihren Veranstaltungen diskutiert.
§62a StBerG: Die berufsrechtliche Parallelvorschrift
Neben dem Strafrecht regelt §62a StBerG die berufsrechtliche Seite. Diese Vorschrift wurde zeitgleich mit der §203-Reform eingeführt und definiert die konkreten Anforderungen an die Beauftragung von Dienstleistern durch Steuerberater. Die beiden Normen ergänzen sich: §203 StGB regelt die strafrechtliche Seite, §62a StBerG die berufsrechtliche. Wer §62a einhält, erfüllt automatisch die Voraussetzungen für die Straffreiheit nach §203 Abs. 3 StGB.
Die Kernpunkte: Der Vertrag bedarf der Textform (Abs. 3). Der Dienstleister ist unter Belehrung über die strafrechtlichen Folgen zur Verschwiegenheit zu verpflichten. Falls der Dienstleister weitere Personen hinzuzieht, also etwa Cloud-Infrastrukturanbieter wie Microsoft Azure oder AWS, muss er diese ebenfalls in Textform zur Verschwiegenheit verpflichten. Dieser letzte Punkt ist bei Cloud-KI besonders relevant, weil praktisch jede KI-Plattform auf einer nachgelagerten Infrastruktur aufsetzt. Die Verpflichtungskette darf nicht beim direkten Vertragspartner enden.
Besonders relevant für Cloud-KI ist Abs. 4: Bei Dienstleistungen, die im Ausland erbracht werden, darf der Steuerberater den Zugang zu Geheimnissen nur eröffnen, wenn das dortige Schutzniveau dem deutschen vergleichbar ist. Bei US-basierten KI-Anbietern ohne europäische Datenverarbeitung ist das regelmäßig nicht der Fall. Konkret: Wer ChatGPT über die US-Server von OpenAI nutzt, kann sich nicht auf §62a Abs. 1 StBerG stützen, weil Abs. 4 den Auslandsbezug einschränkt. Wer eine KI-Plattform mit EU-Hosting und deutscher Vertragsgrundlage nutzt, hat dieses Problem nicht.
Die Abgrenzung zwischen kanzleiweiter Infrastruktur und mandatsspezifischer Nutzung wirft weitere Fragen auf. §62a Abs. 5 StBerG verlangt die Einwilligung des Mandanten, wenn die Dienstleistung „unmittelbar einem einzelnen Mandat dient". Für eine kanzleiweite KI-Plattform, die als allgemeine Infrastruktur bereitsteht, wie ein E-Mail-Server oder ein DMS, greift diese Einschränkung nach herrschender Auslegung nicht. Der Steuerberater nutzt die Plattform für seine Berufsausübung insgesamt, nicht für ein spezifisches Mandat. Anders verhält es sich, wenn ein externer KI-Dienstleister gezielt mit der Analyse eines konkreten Mandantenvertrags beauftragt wird. In diesem Fall sollte die Einwilligungspflicht geprüft werden.
Fünf Prüfkriterien für §203-konforme Cloud-KI
Die folgenden Kriterien gelten unabhängig vom Anbieter. Sie lassen sich auf jedes Cloud-KI-Tool anwenden und liefern eine belastbare Ersteinschätzung.
| Prüfkriterium | Was konkret zu prüfen ist | Typische Lücke |
|---|---|---|
| 1. §203-Geheimhaltungsvertrag | Liegt neben dem AV-Vertrag eine separate Verpflichtung nach §203 Abs. 4 StGB vor? | Viele Anbieter bieten nur einen AV-Vertrag nach DSGVO an |
| 2. Textform mit Strafbelehrung | Enthält der Vertrag die Belehrung über strafrechtliche Folgen bei Pflichtverletzung? | Geheimhaltungsklauseln ohne Strafbelehrung sind nicht §62a-konform |
| 3. Subunternehmer-Kette | Sind nachgelagerte Anbieter (Azure, AWS, GCP) in die Verpflichtungskette eingebunden? | §62a Abs. 3 StBerG verlangt die Weitergabe der Verpflichtung |
| 4. Datenverarbeitung EU/EWR | Findet die Verarbeitung nachweislich in der EU statt? Bei Drittlandtransfer: vergleichbares Schutzniveau? | §62a Abs. 4 StBerG: Auslandsdienstleistung nur bei vergleichbarem Schutz |
| 5. Training-Opt-Out | Werden Eingabedaten für das Training der KI-Modelle verwendet? | Bei Consumer-Versionen ist Modelltraining der Standard |
Praktischer Hinweis: Eine unserer Kanzleien hat die vollständige rechtliche Prüfung ca. drei bis vier Wochen gedauert. In diese Zeit fiel allerdings auch das Onboarding eines neuen Datenschutzbeauftragten. Die Erfahrung zeigt: Wer die Prüfung sauber durchführt, kommt zu einem belastbaren Ergebnis. Ein Schnellschuss ist das nicht.
Wie lösen die gängigen Anbieter das §203-Problem?
Der Markt für KI-Tools im Steuerberater-Umfeld wächst, die Transparenz zur §203-Konformität jedoch nicht. Viele Anbieter kommunizieren „datenschutzkonform" oder „DSGVO-konform". Das adressiert nur einen der beiden Rechtskreise. Wenn Sie die fünf Prüfkriterien aus dem vorherigen Abschnitt auf die gängigen Anbieter anwenden, ergibt sich ein differenziertes Bild.
DATEV KI-Werkstatt: DATEV nutzt für die KI-Werkstatt Microsoft Azure OpenAI Services. Die Daten werden temporär verarbeitet, nicht persistent gespeichert und nicht an OpenAI zum Training weitergegeben. DATEV stellt ihren Mitgliedern eine Verschwiegenheitserklärung nach §203 StGB zur Verfügung, die über die reguläre AVV hinausgeht. In Bezug auf die Subunternehmer-Kette ist die Konstellation allerdings mehrstufig: Die Daten fließen von DATEV über das DATEV-Cloud-Native-Rechenzentrum zu Microsoft Azure. Ob Microsoft in der Verpflichtungskette nach §62a Abs. 3 StBerG erfasst ist, sollte im Einzelfall geprüft werden. Einschränkung: Die KI-Werkstatt befindet sich im Prototypenstatus. Der DATEV Copilot ist seit Februar 2026 dort testbar, aber noch kein produktives Werkzeug für den Kanzleialltag.
Haufe CoPilot Tax: Haufe positioniert den CoPilot Tax mit eigenem EU-Hosting und datenschutzkonformer Verarbeitung. Die Inhaltsbasis sind die Verlagsbestände von Haufe, was für steuerrechtliche Fachrecherche eine Stärke darstellt. Eine explizite §203-Geheimhaltungsvereinbarung nach Abs. 4 ist in der öffentlichen Dokumentation nicht auffindbar. Das Preismodell beginnt bei 929 EUR für eine 3er-Lizenz, was bei größeren Kanzleien ins Gewicht fällt.
Taxy.io (Otto Schmidt Answers): Taxy.io hat die Steuerberaterprüfung bestanden und wurde mit dem Deutschen KI-Preis ausgezeichnet. Das ist bemerkenswert und zeigt die fachliche Tiefe bei steuerrechtlicher Recherche. Die Plattform ist seit der Übernahme durch Visma Teil eines skandinavischen TaxTech-Konzerns. Auch hier ist eine explizite §203-Geheimhaltungsvereinbarung in der öffentlichen Dokumentation nicht auffindbar. Für reine Rechtsrecherche ohne Mandatsbezug kann Taxy.io eine sinnvolle Ergänzung sein. Für die Arbeit mit Mandantendaten gelten die gleichen §203-Anforderungen wie für jeden anderen Anbieter.
Bei Haufe und Taxy.io gilt: Dass die §203-Vereinbarung öffentlich nicht dokumentiert ist, bedeutet nicht zwingend, dass sie fehlt. Es bedeutet, dass Sie als Kanzleiinhaber aktiv danach fragen müssen, bevor Sie Mandantendaten in diese Systeme eingeben. Fragen Sie konkret nach einer Geheimhaltungsverpflichtung nach §203 Abs. 4 StGB mit Strafbelehrung, nicht nur nach einer AVV.
Consumer-KI (ChatGPT Free/Plus, Copilot Free): Keine AVV, keine §203-Vereinbarung, Modelltraining mit Eingabedaten möglich, US-Server. Für jede Nutzung mit Mandatsbezug ausgeschlossen. Detaillierte Analyse dazu in unserem Artikel ChatGPT in der Steuerkanzlei: Erlaubt, geduldet oder strafbar?.
Drei Schritte zur §203-konformen Cloud-KI in Ihrer Kanzlei
Erstens: Schatten-KI identifizieren. Fragen Sie Ihre Mitarbeiter, welche KI-Tools sie bereits nutzen. Laut Bitkom (2025) berichten 25 % der Unternehmen von unkontrollierter Schatten-KI. In Steuerkanzleien ist das Risiko besonders hoch, weil bereits eine einzige Eingabe mit Mandatsbezug in ein ungesichertes Tool den Tatbestand des §203 StGB erfüllen kann.
Zweitens: Vertragscheck durchführen. Prüfen Sie für jedes eingesetzte KI-Tool zwei Dokumente: die AVV nach DSGVO Art. 28 und die Geheimhaltungsvereinbarung nach §203 Abs. 4 StGB. Fehlt das zweite Dokument, dürfen keine Mandantendaten eingegeben werden. Der BStBK FAQ-Katalog KI vom 11. Februar 2026 empfiehlt diese Prüfung ausdrücklich als Teil einer KI-Governance-Struktur für Kanzleien.
Drittens: Datenschutzbeauftragten einbinden. Die rechtliche Prüfung gehört auf den Tisch des DSB. Er oder sie kann die Vertragsdokumentation des Anbieters gegen die Anforderungen aus §203 Abs. 4 StGB und §62a StBerG abgleichen und eine fundierte Empfehlung geben.
Wie eine §203-konforme KI-Plattform in der Kanzleipraxis funktioniert, zeigen wir auf unserer Übersicht KI für Steuerkanzleien.
Häufige Fragen zu §203 StGB und Cloud-KI
Reicht ein AV-Vertrag nach DSGVO für die KI-Nutzung in der Kanzlei?
Brauche ich die Einwilligung meiner Mandanten für Cloud-KI?
Macht sich mein Mitarbeiter strafbar, wenn er Mandantendaten in ChatGPT eingibt?
Nicht der Mitarbeiter, sondern Sie als Berufsgeheimnisträger tragen die strafrechtliche Verantwortung. §203 Abs. 4 Nr. 1 StGB stellt klar: Strafbar macht sich der Berufsgeheimnisträger, der es unterlässt, mitwirkende Personen zur Geheimhaltung zu verpflichten. Bei Consumer-Versionen von ChatGPT existiert keine solche Verpflichtung. Ihre Aufgabe als Kanzleiinhaber ist es, durch eine interne KI-Richtlinie und Mitarbeiterschulung sicherzustellen, dass Mandantendaten nur in abgesicherte Systeme eingegeben werden. Mehr dazu in unserem Grundlagenartikel ChatGPT in der Steuerkanzlei: Erlaubt, geduldet oder strafbar?.
Dürfen Kanzleimitarbeiter Mandantendaten in eine KI-Plattform eingeben, ohne sich strafbar zu machen?
Ja, wenn die Plattform die Voraussetzungen des §203 Abs. 3 und 4 StGB erfüllt. Entscheidend ist nicht, wer die Daten eingibt, sondern ob der Anbieter als mitwirkende Person in Textform zur Geheimhaltung verpflichtet und über die Straffolgen belehrt wurde. Bei ASCADI von Visionary Data ist diese Verpflichtung Bestandteil des Vertragspakets: Neben dem AV-Vertrag nach DSGVO Art. 28 enthält die Zusatzvereinbarung eine Geheimhaltungsverpflichtung nach §203 Abs. 4 StGB mit Strafbelehrung. Strafbar ist nicht die Eingabe in ein abgesichertes System, sondern die unterlassene vertragliche Absicherung durch den Kanzleiinhaber.
