DSB NRW LogoDatenschutzbeauftragterNRWTÜV-zertifiziert · Externer DSB
Ratgeber · Kanzlei

Datenschutz in der Steuerkanzlei: Der AVV, den Sie mit Ihren Mandanten NICHT brauchen

Es gibt einen Irrtum, der sich in Steuerkanzleien hartnäckig hält — und der zeigt, wie gefährlich Halbwissen im Datenschutz ist. Viele Kanzleien schließen mit ihren Mandanten einen Auftragsverarbeitungsvertrag (AVV) ab, weil sie glauben, das sei vorgeschrieben. Andere werden von ihren Mandanten dazu aufgefordert. Beide liegen falsch: Steuerberater brauchen mit ihren Mandanten in der Regel gerade keinen AVV.

Warum das so ist, und worauf es im Datenschutz der Kanzlei stattdessen wirklich ankommt — darum geht es hier. Denn die Kanzlei arbeitet mit dem Sensibelsten, was ein Mandant hat: seinen finanziellen, rechtlichen und persönlichen Verhältnissen. Hier treffen zwei strenge Pflichtenkreise aufeinander, die DSGVO und die berufsrechtliche Verschwiegenheit.

Der Kern: Der Steuerberater ist Verantwortlicher, kein Auftragsverarbeiter

Seit dem 18.12.2019 stellt § 11 des Steuerberatungsgesetzes (StBerG) ausdrücklich klar: Steuerberater sind bei der Verarbeitung personenbezogener Daten selbst Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO — und nicht Auftragsverarbeiter nach Art. 4 Nr. 8. Sie arbeiten weisungsfrei, im Rahmen einer sogenannten Funktionsübertragung.

Die praktische Konsequenz: Mit dem Mandanten muss kein Auftragsverarbeitungsvertrag geschlossen werden. Und das gilt — das ist die eigentliche Neuerung — ausdrücklich auch für die Lohn- und Gehaltsabrechnung, die manche Aufsichtsbehörden zuvor als Auftragsverarbeitung eingestuft hatten. Diese Auffassung ist seit der Gesetzesänderung überholt.

Das ist mehr als juristische Feinheit. Wer als Kanzlei pauschal AVV mit Mandanten abschließt, dokumentiert ein Rechtsverhältnis, das es so nicht gibt — und wer als Mandant einen AVV von seinem Steuerberater verlangt, fordert etwas Falsches. In der Prüfungspraxis ist das eine der Stellen, an denen sich schnell zeigt, ob eine Kanzlei den Datenschutz verstanden hat oder nur Formulare sammelt.

Wo die Kanzlei sehr wohl einen AVV braucht

Jetzt die andere Richtung — und hier wird es für die Kanzlei wichtig. Beauftragt der Steuerberater seinerseits eine andere Stelle mit der Verarbeitung personenbezogener Daten, etwa ein Rechenzentrum wie DATEV, eine Cloud oder einen IT-Dienstleister, dann ist er als Auftraggeber für die Einhaltung von Art. 28 DSGVO verantwortlich. Das heißt konkret:

  • Der Steuerberater muss den Auftragnehmer sorgfältig auswählen.
  • Es ist ein AVV mit dem Dienstleister zu schließen, der Umfang, Art und Zweck der Verarbeitung regelt.
  • Der Steuerberater muss sich davon überzeugen, dass die technischen und organisatorischen Maßnahmen des Dienstleisters eingehalten werden.

Die Logik ist also: Nach unten (zum Mandanten) kein AVV, weil die Kanzlei selbst Verantwortliche ist. Nach oben (zu DATEV, Cloud, IT) sehr wohl ein AVV, weil hier die Kanzlei Daten auslagert. Wer diese Richtung verwechselt, hat genau die falschen Verträge in der Akte.

Die Verschwiegenheit liegt über allem

Neben der DSGVO steht die berufsrechtliche Verschwiegenheitspflicht, strafbewehrt durch § 203 StGB. Sie gilt nebeneinander mit dem Datenschutzrecht, nicht statt seiner. Das hat handfeste Folgen für den Kanzleialltag:

  • Auslagerung von IT und Cloud: Sobald ein Dienstleister Zugriff auf Mandantendaten haben kann, muss nicht nur der AVV stimmen — es muss auch sichergestellt sein, dass die Verschwiegenheit gewahrt bleibt.
  • Mandantenkommunikation: Sensible Unterlagen gehören verschlüsselt oder über ein sicheres Mandantenportal übermittelt, nicht als Klartext-E-Mail. Ein abgefangener oder fehlgeleiteter Schriftsatz ist im Kanzleikontext besonders heikel.
  • Zugriffskonzept: Nicht jede Mitarbeiterin muss jedes Mandat sehen. Das Need-to-Know-Prinzip ist gerade bei der Dichte sensibler Daten in der Kanzlei zentral.

Aufbewahrung und Löschung

Mandantenakten unterliegen besonderen Aufbewahrungsfristen aus dem Berufs- und Steuerrecht. Ein Löschkonzept muss diese Fristen berücksichtigen und gleichzeitig die datenschutzrechtliche Löschpflicht (Art. 17 DSGVO) erfüllen, sobald die Fristen abgelaufen sind. Auch hier gilt: weder zu früh löschen noch alles unbegrenzt aufbewahren. Ein dokumentiertes Konzept, das die Fristen je Unterlagenart festhält, gibt der Kanzlei Sicherheit.

Braucht die Kanzlei eine/n Datenschutzbeauftragte/n?

Häufig ja. Kanzleien verarbeiten umfangreich sensible Daten, und die nationale 20-Personen-Schwelle (§ 38 BDSG) ist in vielen Kanzleien erreicht. Zusätzlich kann sich die Pflicht aus Art. 37 DSGVO ergeben, wenn umfangreich besondere Datenkategorien verarbeitet werden. Es kommt auf den Einzelfall an — aber gerade bei der Datendichte einer Kanzlei liegt die Benennungspflicht oft nahe.

Wichtig dabei: Das Gesetz verlangt einen geeigneten DSB. Eine intern „nebenbei" benannte Person mit Interessenkonflikt erfüllt die Pflicht im Zweifel nicht. Der externe DSB bietet hier den Vorteil der Unabhängigkeit — und vermeidet die Konstellation, dass jemand seine eigene Arbeit kontrollieren soll.

Was Sie konkret mitnehmen sollten

Drei Dinge: Erstens, prüfen Sie Ihre Verträge — schließen Sie keinen AVV mit Mandanten ab (den brauchen Sie als Verantwortliche nicht), aber stellen Sie sicher, dass Sie mit DATEV, Cloud und IT-Dienstleistern einen AVV haben. Zweitens, sichern Sie Ihre Mandantenkommunikation und Ihr Zugriffskonzept. Drittens, dokumentieren Sie Löschfristen für Mandantenakten.

Datenschutz in der Kanzlei ist anspruchsvoll, weil DSGVO und Berufsrecht ineinandergreifen — und weil verbreitete Irrtümer wie der AVV mit dem Mandanten zu falschen Dokumenten führen.

Über den Autor

Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.

Stand: Mai 2026.

Externer DSB für NRW

Sie wollen das in Ihrem Unternehmen sauber umsetzen?

Wir betreuen KMU, Heilberufler und Kommunen in ganz NRW als externer Datenschutzbeauftragter. Erstgespräch ist kostenfrei und unverbindlich.

Kostenloses Erstgespräch Leistungen ansehen
Weiterlesen

Passende Ratgeber-Artikel

Gesundheit

Datenschutz in der Arztpraxis — DSGVO & Schweigepflicht

Gesundheitsdaten sind besondere Daten nach Art. 9 DSGVO. Was Praxen für § 203 StGB sicherstellen müssen.

7 Min.Lesen
Sport

Datenschutz im Fitnessstudio

Mitgliederdaten, Gesundheitsangaben, Videoüberwachung und Apps — was Studios beim Datenschutz beachten müssen.

5 Min.Lesen
Handwerk

Datenschutz im Handwerksbetrieb

Auch Handwerksbetriebe müssen die DSGVO einhalten — Kundendaten, Mitarbeiterdaten und Baustellenfotos in der Praxis.

5 Min.Lesen