Cloud-Nutzung in Steuerkanzleien: Datenschutz richtig umsetzen

Warum Steuerberater zunehmend auf die Cloud setzen 

Die digitale Transformation verändert die Arbeitsweise von Steuerkanzleien grundlegend. Mandanten erwarten heute schnelle Reaktionen, durchgängig digitale Kommunikationswege und jederzeitigen Zugriff auf ihre Unterlagen. Parallel dazu wachsen die regulatorischen Anforderungen an Dokumentation und Archivierung kontinuierlich. Cloud-Technologien versprechen hier entscheidende Vorteile: 

Skalierbarkeit: Speicherplatz und Rechenleistung lassen sich bedarfsgerecht anpassen – teure Investitionen in eigene Hardware entfallen. 

Flexibilität und Mobilität: Dokumente sind standortunabhängig verfügbar, Teams können nahtlos über verschiedene Büros hinweg zusammenarbeiten. 

Kosteneffizienz: Der Betrieb eigener Server wird überflüssig, Wartung und Updates übernimmt der Anbieter. 

Sicherheit und Ausfallschutz: Professionelle Cloud-Dienste gewährleisten durch redundante Systeme, automatisierte Backups und ausgefeilte Sicherheitsarchitekturen oft ein höheres Schutzniveau als lokale Lösungen. 

Diese Vorteile haben jedoch ihren Preis: Cloud-Lösungen werfen komplexe Fragen zu Datenschutz und Berufsgeheimnis auf. Steuerberater verarbeiten hochsensible Informationen – von Einkommensnachweisen über Lohnabrechnungen bis zu detaillierten Finanzdaten ihrer Mandanten. Ein unbedachter Umgang mit Cloud-Diensten, sei es bei der Anbieterauswahl, der Vertragsgestaltung oder der technischen Implementierung, kann schwerwiegende rechtliche Folgen nach sich ziehen. Eine systematische, von Beginn an rechtskonforme Integration des Datenschutzes ist daher unerlässlich. 

Rechtlicher Rahmen: DSGVO, BDSG und Berufsgeheimnis 

Die rechtlichen Anforderungen an den Einsatz von Cloud-Lösungen in Steuerkanzleien ergeben sich aus einem komplexen Geflecht verschiedener Rechtsgrundlagen, die hier beispielhaft skizziert werden: 

DSGVO (Datenschutz-Grundverordnung) 

Die DSGVO bildet das Fundament für die Verarbeitung personenbezogener Daten im europäischen Rechtsraum. Sie definiert klare Prinzipien: Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Sicherheit. Für Steuerkanzleien sind insbesondere Artikel 5 (Grundsätze der Verarbeitung), Artikel 6 (Rechtmäßigkeit der Verarbeitung), Artikel 28 (Auftragsverarbeiter) sowie das gesamte Kapitel V zu internationalen Datenübermittlungen von zentraler Bedeutung. 

BDSG (Bundesdatenschutzgesetz) 

Das BDSG präzisiert die europäischen Vorgaben für den deutschen Rechtsraum und adressiert drei für Steuerkanzleien wesentliche Bereiche: 

1. Besondere Kategorien personenbezogener Daten: Das Gesetz konkretisiert die Verarbeitungsbedingungen für hochsensible Informationen – etwa Gesundheitsdaten oder die Religionszugehörigkeit im Kontext der Kirchensteuer. 
2. Betroffenenrechte: Hier finden sich spezifische Regelungen zu Auskunfts- und Informationsansprüchen, einschließlich möglicher Einschränkungen, wenn dem berechtigte Geheimhaltungsinteressen entgegenstehen. 
3. Berufsgeheimnis: Das BDSG nimmt explizit Bezug auf die besonderen Verschwiegenheitspflichten von Steuerberatern. Verstöße ziehen nicht nur datenschutzrechtliche Sanktionen nach sich, sondern können auch strafrechtliche Konsequenzen haben. 

Berufsrecht / Steuerberatungsgesetz (StBerG) 

Das Steuerberatungsgesetz verankert in § 57 StBerG (Allgemeine Berufspflichten) das Berufsgeheimnis als zentrale Säule der Berufsausübung. Diese Verschwiegenheitspflicht erstreckt sich auf sämtliche Tatsachen, die Mandanten betreffen – unabhängig davon, ob diese explizit als vertraulich gekennzeichnet wurden. Die Pflicht zur Wahrung des Berufsgeheimnisses gilt selbstverständlich auch bei der Nutzung von IT-Infrastrukturen und Cloud-Diensten. 

Wichtig: Steuerberater sind nicht automatisch Auftragsverarbeiter im Sinne von Artikel 28 der DSGVO, wenn sie Tätigkeiten für ihre Mandanten ausüben. Der Großteil ihrer Arbeit gilt als eigenständige Datenverarbeitung, da sie eigenverantwortlich und weisungsfrei agieren – sie entscheiden selbst über Zwecke und Mittel der Verarbeitung. 

Diese besondere Stellung hat direkte Auswirkungen auf die vertragliche Gestaltung beim Einsatz von Cloud-Diensten: Während Steuerberater gegenüber ihren Mandanten als Verantwortliche auftreten, werden sie im Verhältnis zum Cloud-Anbieter selbst zum Auftraggeber. Diese Konstellation erfordert besondere Sorgfalt bei der Vertragsgestaltung und der Auswahl geeigneter Dienstleister. 

Wichtige Kriterien bei der Auswahl von Cloud-Dienstleistern 

Um Cloud-Lösungen datenschutzkonform einzusetzen, müssen Steuerkanzleien bei der Anbieterauswahl und Implementierung zentrale Kriterien systematisch prüfen: 

Auftragsverarbeitungsverträge (AVV) 

Sobald ein Cloud-Anbieter personenbezogene Daten im Auftrag der Kanzlei verarbeitet, fordert Artikel 28 der DSGVO einen rechtsverbindlichen Auftragsverarbeitungsvertrag (AVV). Dieser definiert präzise Verarbeitungszwecke, Datenarten, Verarbeitungsdauer sowie die gegenseitigen Rechte und Pflichten. Er regelt zudem den Umgang mit Unterauftragnehmern. 

Musterverträge, etwa vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, (Basiswissen für die Datenverarbeitung), bieten eine solide Grundlage. Diese Vorlagen sollten jedoch an die spezifischen Anforderungen der jeweiligen Kanzlei angepasst werden. Besondere Aufmerksamkeit verdient die Frage, ob und unter welchen Bedingungen der Dienstleister Unterauftragnehmer einbinden darf – und ob diese denselben Sicherheitsstandards verpflichtet sind. 

Technische und organisatorische Maßnahmen (TOM) 

Die Sicherheitsarchitektur des Cloud-Anbieters muss höchsten Ansprüchen genügen. Daten müssen sowohl im Ruhezustand als auch während der Übertragung nach aktuellen kryptographischen Standards verschlüsselt werden. Zugriffskontrollen müssen granular definiert sein: Wer kann wann auf welche Daten zugreifen? Wie werden diese Zugriffe protokolliert und überwacht? 

Die Backup-Strategie verdient besondere Beachtung: Wie häufig werden Sicherungen erstellt? Wie schnell lassen sich Daten wiederherstellen? Wo werden die Backups gespeichert? Ebenso wichtig sind durchdachte Löschkonzepte – nicht mehr benötigte Daten müssen zuverlässig gelöscht oder anonymisiert werden können. 

Auch die physische Sicherheit der Rechenzentren spielt eine Rolle: Zugangskontrollen, Mitarbeiterschulungen und ein erprobter Incident-Response-Plan sind unverzichtbare Bestandteile eines professionellen Sicherheitskonzepts. 

Serverstandorte und internationale Datentransfers 

Die geographische Verortung der Server hat weitreichende rechtliche Konsequenzen. Befinden sich die Rechenzentren innerhalb der EU oder des EWR, greift automatisch das europäische Datenschutzniveau. 

Bei Datenübermittlungen in Drittländer gelten die strengen Vorgaben des Kapitels V der DSGVO. Hier bedarf es entweder eines Angemessenheitsbeschlusses der EU-Kommission oder zusätzlicher Schutzmaßnahmen wie Standardvertragsklauseln oder verbindlicher unternehmensinterner Vorschriften. 

Die Leitlinien des Europäischen Datenschutzausschusses (etwa Guidelines 05/2021) bieten konkrete Orientierung, wann ein internationaler Datentransfer vorliegt und welche Sicherungsmaßnahmen erforderlich sind. Besondere Vorsicht ist geboten, wenn Behörden aus Drittstaaten Zugriff auf Daten verlangen könnten – Artikel 48 der DSGVO und die dazu kürzlich veröffentlichten Guidelines 02/2024 zu Article 48 GDPR setzen hier enge Grenzen. 

Praxisbeispiele: Typische Fehler und wie man sie vermeidet 

Die Praxis zeigt wiederkehrende Stolperfallen beim Einsatz von Cloud-Lösungen in Steuerkanzleien. Die folgende Übersicht benennt kritische Punkte und zeigt mögliche bzw. pragmatische Lösungswege auf: 

Unklare Vertragslage: Der Cloud-Anbieter stellt keinen vollständigen AVV zur Verfügung oder der Vertrag entspricht nicht den Anforderungen des Artikels 28 DSGVO. Lösung: Vor Vertragsabschluss Musterverträge sorgfältig prüfen; Klauseln zu Unterauftragnehmern und Haftungsfragen ergänzen; bei Unsicherheiten juristischen Beistand hinzuziehen. 

Fehlende Transparenz über Unterauftragnehmer: Es bleibt unklar, wo Unterauftragnehmer ansässig sind, welche Daten diese einsehen können und wie diese Daten gesichert werden. Lösung: Anbieter gezielt nach eingesetzten Unterauftragnehmern und deren Standorten befragen; entsprechende Vertragsklauseln aufnehmen; regelmäßige Informationen oder Audit-Berichte einfordern. 

Serverstandorte außerhalb der EU ohne Schutzmaßnahmen: Daten werden in Ländern gespeichert oder verarbeitet, die kein angemessenes Datenschutzniveau garantieren; es fehlen Standardvertragsklauseln oder vergleichbare Schutzvorkehrungen. Lösung: Sicherstellen, dass Standardvertragsklauseln vereinbart werden oder die Server in einem Land mit Angemessenheitsbeschluss stehen; EDPB-Leitlinien als Orientierung nutzen. 

Keine oder schwache Verschlüsselung: Daten werden nicht oder nur unzureichend verschlüsselt, insbesondere bei Übertragungen oder in öffentlich zugänglichen Umgebungen. Lösung: Mindestens TLS-Verschlüsselung bei Datenübertragungen sicherstellen; AES oder vergleichbare Standards für die Speicherung verwenden; Schlüsselverwaltung kritisch hinterfragen. 

Verwechslung Verantwortlicher versus Auftragsverarbeiter: Steuerberater behandeln jede Cloud-Nutzung pauschal als Auftragsverarbeitung – oder umgekehrt fehlt der AVV, obwohl der Anbieter tatsächlich im Auftrag handelt. Lösung: Prüfen, ob die Tätigkeit weisungsgebunden erfolgt; klare Rollenverteilung definieren; bei Zweifelsfällen Datenschutzbeauftragten konsultieren. 

Checkliste für eine sichere Cloud-Nutzung 

Um sicherzustellen, dass Ihre Kanzlei rechtlich und praktisch solide aufgestellt ist, haben wir die wesentlichen Prüfpunkte zusammengestellt: 

Datenschutz-Checkliste für Cloud-Nutzung in Ihrer Steuerkanzlei 

• • Welche Daten (Art und Sensibilität) sollen in der Cloud gespeichert oder verarbeitet werden? 
  • Welche Risiken bestehen konkret (Datenverlust, unberechtigter Zugriff, unkontrollierte Datenübermittlung)? 

• • Agieren Sie als Verantwortlicher oder als Auftragsverarbeiter? 
  • Liegt ein AVV vor, sofern erforderlich (Artikel 28 DSGVO)? 

• • AVV oder präzise vertragliche Vereinbarung inklusive Regelungen zu Unterauftragnehmern 
  • Klare Bestimmungen zu Löschkonzepten, Betroffenenrechten sowie Audit- und Kontrollmöglichkeiten 

• • Verschlüsselung bei Übertragung und Speicherung 
  • Zugangskontrolle, Protokollierung, sichere Backup- und Wiederherstellungsverfahren 
  • Regelmäßige Mitarbeiterschulungen und erprobte Notfallpläne 

• • Bevorzugt EU/EWR-Standorte wählen 
  • Bei Drittlandbezug: geeignete Schutzinstrumente (SCCs, BCRs) implementieren 
  • EDPB-Leitlinien und aktuelle Rechtsprechung beachten 

• • Alle datenschutzrelevanten Entscheidungen und Verträge schriftlich festhalten 
  • Mandanten informieren (Datenschutzerklärung, gegebenenfalls Einwilligung einholen) 

• • Regelmäßige Kontrolle der eingesetzten Cloud-Lösungen 
  • Externe Audits oder Zertifizierungen einbeziehen 
  • Vorfalls-Management: Meldeprozesse etablieren, Schadensminimierung vorbereiten 

Ihre Cloud-Strategie rechtssicher gestalten 

Wenn Sie sicherstellen möchten, dass Ihre Cloud-Nutzung nicht nur technisch zeitgemäß, sondern auch rechtlich abgesichert ist, sollten wir das gemeinsam angehen: 

Vertrauen Sie auf eine vertrauliche Beratung, um: 

• Ihre Rollen und Verantwortlichkeiten bezüglich Auftragsverarbeitung und Datenverantwortung eindeutig zu klären 

• Ihre Verträge und Cloud-Anbieter auf mögliche Datenschutzlücken zu überprüfen 

• Technische und organisatorische Maßnahmen zu optimieren, insbesondere bei internationalen Datenübermittlungen 

[Jetzt vertrauliche Beratung buchen]