DSGVO bei Steuerberater + Anwaltskanzleien

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Steuerberater + Anwälte = eigenständig Verantwortliche, NICHT Auftragsverarbeiter
Kein AVV erforderlich, aber gegenseitige DSE-Information sinnvoll
§ 203 StGB Schweigepflicht + DSGVO + Berufsrecht (BRAO/StBerG)
Mandantendaten = Art. 9 DSGVO bei Personalfragen + Gesundheitsdaten
10-Jahre-Aufbewahrung § 257 HGB / § 147 AO bei Buchführung

Hauptartikel: Hauptartikel: AVV-Vorlage Art. 28 — der vollständige Pillar-Artikel zum Thema.

1. BayLDA-Klarstellung 2024

Steuerberater + Anwälte sind eigenständig Verantwortliche, KEIN Auftragsverarbeiter. Kein AVV nach Art. 28 erforderlich.

2. Berufsgeheimnis § 203 StGB

Stärker als DSGVO. Bei Bruch: Strafanzeige + Bußgeld parallel.

3. Mandantenakten-Schutz

Strenge Aufbewahrung (StBerG: 10 Jahre, BRAO: 6 Jahre). Zugriff nur durch Berufsträger + assigniertes Personal.

4. Cloud-Software für Kanzleien

DATEV (DE-Hosting), Stack-IT, Anwaltsoftware Wolters Kluwer. Bei US-Hosting: TIA + besondere Vorsicht (Schweigepflicht!).

5. E-Mail mit Mandant

S/MIME oder PGP-Verschlüsselung empfohlen. Beck'sche Anwalts-Postfach (BeA) für Anwälte verpflichtend.

6. Datenpannen-Spezifika

Bei Datenpanne: AB-Meldung + § 203 StGB-Risiko. Anwaltliche Kanzleien: Anwaltskammer-Information möglich.

Zusammenfassung

Kernpunkte dieses Artikels:

Steuerberater und Rechtsanwälte unterliegen einem strengeren Regime als gewöhnliche Verantwortliche — das Berufsgeheimnis nach § 203 StGB addiert strafrechtliche Haftung zur DSGVO.
BayLDA-Klarstellung 2024: Steuerberater sind eigene Verantwortliche, kein Auftragsverarbeiter — daher kein AVV nach Art. 28 DSGVO, sondern eigenständiger Mandats-/Verarbeitungsvertrag.
Cloud-Software für Kanzleien muss DE-gehostet sein; E-Mail-Kommunikation mit Mandanten verlangt S/MIME oder PGP-Verschlüsselung; Anwälte nutzen pflichtgemäß beA.
DSB-Pflicht ab 20 Beschäftigten mit automatisierter Verarbeitung nach § 38 BDSG — in der Praxis betrifft das fast jede Kanzlei mit DATEV-Einsatz.

Bei einer Datenpanne laufen 72h-DSGVO-Meldung an Aufsicht und § 203-StGB-Risiko-Bewertung parallel — ein dafür zugeschnittenes Incident-Playbook ist Branchenstandard.

Häufig gestellte Fragen

Wirklich kein AVV?

Ja. BayLDA 03/2024 + EDPB-Linie. Vertrag mit Berufsgeheimnis-Schutz reicht.

DSB Pflicht?

Ja, ab 20 MA mit automatisierter Verarbeitung (BDSG § 38).

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
§ 257 HGB — Aufbewahrungspflichten (Stand: laufend)
§ 147 AO — Aufbewahrungsfristen (Stand: laufend)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.