§62a StBerG und KI-Cloud: Was die Verschwiegenheitspflicht fordert
Wenn Steuerberater über KI und Geheimhaltung diskutieren, fällt fast immer derselbe Paragraph: §203 StGB. Für die Kanzleipraxis ist die berufsrechtliche Vorschrift oft entscheidender. §62a StBerG regelt im Detail, unter welchen Bedingungen ein Steuerberater externe Dienstleister einschalten darf, und gilt seit der Reform 2017 ausdrücklich auch für Cloud- und KI-Anbieter. Die Norm verlangt mehr als einen DSGVO-Auftragsverarbeitungsvertrag. Wer sie übersieht, riskiert berufsrechtliche Konsequenzen, lange bevor eine Strafanzeige nach §203 StGB im Raum steht.
Warum §62a StBerG die für die Kanzlei wichtigere Norm ist
§203 StGB ist die strafrechtliche Sanktionsnorm. Sie greift, wenn ein Mandantengeheimnis offenbart wurde, und wird von der Staatsanwaltschaft verfolgt. §62a StBerG dagegen ist die berufsrechtliche Sorgfaltspflicht. Sie greift schon, bevor ein Geheimnis durchsickert, und wird von der Steuerberaterkammer geprüft.
Der Unterschied wirkt akademisch. In der Praxis ist er erheblich. §203 StGB wird bei einem konkreten Verdachtsfall geprüft, etwa nach einer Mandantenanzeige. §62a StBerG dagegen ist Prüfungsgegenstand jeder Kammeraufsicht und kann auch ohne konkreten Schaden zur Rüge oder zum Berufsgerichtsverfahren führen.
§62a Abs. 3 StBerG nennt KI-Anbieter nicht namentlich. Die Norm spricht von „anderen mitwirkenden Personen" und „Stellen". Der BStBK FAQ-Katalog KI vom 27. Januar 2026 stellt klar, dass darunter alle externen IT-Dienstleister fallen, einschließlich Cloud- und KI-Anbieter. Die Konsequenz: Auch wenn keine Mandantendaten in eine KI eingegeben werden, kann eine Kanzlei §62a verletzen, weil sie die formalen Vorgaben (Auswahl, Vertrag, Hinweispflicht) nicht eingehalten hat.
Was §62a Abs. 3 StBerG von einem Cloud-KI-Anbieter konkret verlangt
Schriftliche Verschwiegenheitsvereinbarung mit §203-Belehrung
§62a Abs. 3 Satz 1 StBerG verlangt drei Dinge in schriftlicher Form: eine ausdrückliche Verpflichtung des Dienstleisters zur Geheimhaltung, die Belehrung über die strafrechtliche Verantwortung nach §203 StGB und die Belehrung über die Folgen einer Verletzung.
Eine reguläre AVV nach DSGVO Art. 28 enthält diese drei Punkte nicht von selbst. Sie regelt den datenschutzrechtlichen Auftrag, nicht die berufsrechtliche Schweigepflicht. In der Praxis bedeutet das: Eine Kanzlei, die nur die Standard-AVV eines KI-Anbieters unterschreibt, hat §62a StBerG nicht erfüllt. In Beratungsgesprächen formulieren Kanzleiinhaber das Problem oft in Alltagssprache: „Ist das so abgesichert, dass man guten Gewissens Klarnamen eingeben kann?" Die juristisch saubere Antwort hängt am §62a-Vertrag, nicht an der AVV.
Sorgfältige Auswahl und laufende Überwachung
§62a Abs. 2 StBerG verlangt eine „sorgfältige Auswahl" des Dienstleisters und schreibt vor, dass die Eignung in regelmäßigen Abständen überprüft wird. Was sorgfältig konkret heißt, ist nicht fest definiert. Die Bundessteuerberaterkammer empfiehlt im FAQ-Katalog von Februar 2026 mindestens drei Prüfpunkte: den Sitz des Anbieters und der eingesetzten Subunternehmer im EU/EWR-Raum, nachweisbare Zertifizierungen (ISO 27001, BSI C5, SOC 2) und die vertragliche Zusicherung, dass Eingabedaten nicht für Modelltraining verwendet werden.
Diese Auswahlentscheidung muss dokumentiert werden. Sie kann von der Kammer nachträglich angefordert werden.
Die Subunternehmer-Kette nach Abs. 3 Satz 2
Der oft übersehene Knackpunkt steht in §62a Abs. 3 Satz 2 StBerG. Wenn der Hauptdienstleister seinerseits Subunternehmer einschaltet, muss er diese ebenfalls schriftlich zur Geheimhaltung verpflichten und über §203 StGB belehren. Die Pflicht wandert die ganze Kette hinunter.
Bei KI-Plattformen ist das fast immer der Fall. Eine Plattform wie Microsoft Copilot nutzt OpenAI als LLM-Backend, das wiederum über Microsoft Azure läuft. Eine spezialisierte Kanzlei-KI-Plattform nutzt häufig mehrere LLM-Provider parallel (GPT-4o von OpenAI, Claude von Anthropic, Gemini von Google). Jeder dieser Provider ist Subunternehmer im Sinne von §62a StBerG.
Die Praxisfrage an den Anbieter lautet: Können Sie schriftlich zusichern, dass alle eingebundenen LLM-Provider eine §203-Belehrung unterschrieben haben? Wer das nicht beantworten kann, erfüllt die Norm nicht.
Wo gängige KI-Anbieter §62a StBerG verfehlen
Die folgende Übersicht zeigt typische Lücken am Markt. Sie ist keine Wettbewerber-Bewertung, sondern eine Checkliste der häufigsten Schwachstellen, die uns aus Beratungsprojekten begegnen.
| Anforderung aus §62a StBerG | Typische Lücke beim Anbieter | Konsequenz für die Kanzlei |
|---|---|---|
| Schriftliche Verschwiegenheitsvereinbarung mit §203-Belehrung | Anbieter stellt nur DSGVO-AVV bereit, ohne expliziten §203-Hinweis | §62a Abs. 3 Satz 1 nicht erfüllt |
| Subunternehmer-Verpflichtung nach Satz 2 | LLM-Provider (OpenAI, Anthropic, Google) sind nicht §203-belehrt | §62a Abs. 3 Satz 2 nicht erfüllt |
| EU/EWR-Verarbeitung | Anbieter routet auf US-Server bei Lastspitzen oder Failover | §62a Abs. 2 Sorgfaltspflicht verletzt |
| Dokumentierte Auswahlprüfung | Kanzlei hat nur Marketing-Material vom Anbieter, keinen Prüfvermerk | Im Aufsichtsfall nicht belegbar |
| Trainings-Opt-Out | Modell trainiert auf Eingabedaten, oder dies ist nicht ausgeschlossen | §62a Abs. 2 Sorgfaltspflicht verletzt |
Aus unserer Beratungserfahrung mit mittelständischen Steuerkanzleien ist die häufigste Lücke der zweite Punkt. Selbst Anbieter, die einen guten Kanzleivertrag bereitstellen, haben oft keine dokumentierte Subunternehmer-Kette. Das ist nicht böswillig, sondern ein blinder Fleck im Vertriebsprozess. Erst wenn ein Steuerberater explizit nachfragt, wird die Lücke sichtbar.
Wie eine Kanzlei §62a-Konformität in 30 Minuten prüft
Eine vollständige Prüfung lässt sich in vier konkrete Schritte zerlegen.
Erstens: Vertrag anfordern und §203-Klausel suchen. Lassen Sie sich die Verschwiegenheitsvereinbarung schicken und prüfen Sie, ob §203 StGB ausdrücklich genannt ist. Steht dort nur „DSGVO-konforme Verarbeitung" oder „Vertraulichkeit nach Art. 28 DSGVO", ist §62a nicht erfüllt.
Zweitens: Subunternehmer-Liste verlangen. Fragen Sie schriftlich nach allen Subunternehmern, die Zugriff auf Mandantendaten haben können (LLM-Provider, Hosting, Backup). Bitten Sie um die Bestätigung, dass jeder dieser Subunternehmer §203-belehrt ist.
Drittens: Datenflüsse dokumentieren. Notieren Sie für die Kammeraufsicht, welche Daten in welchem Schritt wo verarbeitet werden. Das genügt als Nachweis der sorgfältigen Auswahl nach Abs. 2.
Viertens: Wiedervorlage setzen. Die Norm verlangt regelmäßige Überprüfung. Eine jährliche Re-Validierung des Vertragsstands und der Subunternehmer-Liste reicht nach BStBK-Empfehlung in den meisten Fällen aus.
Wer diese vier Schritte einmal sauber durchläuft, hat den größten Teil der berufsrechtlichen Pflicht erfüllt. Für eine vollständige Bestandsaufnahme bietet Visionary Data einen interaktiven KI-Compliance-Check für Steuerkanzleien, der die §62a-Punkte gemeinsam mit den AI-Act- und DSGVO-Anforderungen abdeckt.
Wie sich §62a StBerG zu §203 StGB und DSGVO verhält
§62a StBerG ist nicht das einzige Puzzleteil. Eine berufsrechtlich saubere KI-Nutzung in der Steuerkanzlei stützt sich auf drei Normen, die ineinandergreifen. §62a StBerG regelt die berufsrechtliche Sorgfalt bei Einschaltung Dritter. §203 Abs. 4 StGB sanktioniert die Verletzung des Mandantengeheimnisses durch mitwirkende Personen. DSGVO Art. 28 regelt die datenschutzrechtliche Auftragsverarbeitung.
Diese drei Ebenen müssen gleichzeitig erfüllt sein. Wer sich nur auf eine Ebene konzentriert, hat die anderen beiden nicht abgedeckt. Das Zusammenspiel der drei Normen haben wir im Detail in unserer Übersicht zu KI für Steuerkanzleien aufgearbeitet, ergänzt um die strafrechtliche Perspektive im Beitrag ChatGPT in der Steuerkanzlei: Erlaubt, geduldet oder strafbar?.
Visionary Data unterstützt Steuerkanzleien bei der berufsrechtlich sauberen KI-Einführung. Wenn Sie prüfen möchten, ob Ihre aktuelle KI-Nutzung §62a StBerG erfüllt, durchlaufen Sie zunächst den interaktiven KI-Compliance-Check für Steuerkanzleien oder vereinbaren Sie ein 30-minütiges Erstgespräch.
Häufige Fragen
Reicht ein Auftragsverarbeitungsvertrag nach DSGVO Art. 28 aus?
Nein. Die DSGVO regelt den Datenschutz, §62a StBerG die berufsrechtliche Verschwiegenheit. Beide Vorschriften haben unterschiedliche Schutzziele und unterschiedliche Pflichten. Eine reine AVV enthält weder die ausdrückliche §203-Belehrung noch die schriftliche Geheimhaltungsverpflichtung, die §62a Abs. 3 Satz 1 StBerG verlangt. Eine §62a-konforme Vereinbarung kann zusätzlich zur AVV abgeschlossen werden, oder die AVV wird um die berufsrechtlichen Klauseln erweitert.
Was passiert bei einem Verstoß gegen §62a StBerG?
Der Verstoß ist primär ein berufsrechtliches Problem. Die Steuerberaterkammer kann eine Rüge aussprechen, ein Berufsgerichtsverfahren einleiten und in schweren Fällen ein Berufsverbot beantragen. Hinzu kommt eine zivilrechtliche Haftung gegenüber dem Mandanten, wenn diesem ein Schaden entstanden ist. Wenn der Verstoß zur Offenbarung eines Mandantengeheimnisses geführt hat, kann zusätzlich §203 StGB strafrechtlich greifen.
Ist §62a StBerG auch bei anonymisierten Daten relevant?
Bei vollständig anonymisierten Daten greift §62a in der Regel nicht, weil keine Mandantengeheimnisse offenbart werden. Praktisches Problem: In der Kanzlei ist eine vollständige Anonymisierung kaum durchführbar, ohne den Geschäftszusammenhang zu zerstören. Die Bundessteuerberaterkammer weist im FAQ-Katalog vom Februar 2026 darauf hin, dass auch Pseudonymisierungen in vielen Fällen nicht ausreichen, weil über Kontextinformationen reidentifiziert werden kann. In der Praxis empfehlen wir, die berufsrechtlichen Pflichten unabhängig vom Anonymisierungsgrad einzuhalten.
