Es ist Frühjahr 2026, ein Mittwochvormittag, und in einer Steuerberatungskanzlei – ihre Größe spielt keine Rolle, sie könnte mit drei Köpfen arbeiten oder mit dreißig – erreicht eine ungewöhnliche E-Mail das Postfach. Eine langjährige Mandantin, Inhaberin eines mittelständischen Maschinenbaubetriebs, schreibt freundlich, aber sichtlich irritiert. Sie habe am Vorabend kurz auf der Website der Kanzlei nach einer Telefondurchwahl gesucht, weil ihr Adressbuch nicht griffbereit gewesen sei. Wenige Minuten später seien ihr in zwei verschiedenen Browsern Werbeanzeigen aufgefallen – Anzeigen, die sich unverkennbar um die Stichworte «Umstrukturierung» und «Krisenmandat» drehten. Ob das ein Zufall sei, fragt sie. Oder ob ihre Beziehung zu «ihrer» Kanzlei plötzlich für Dritte sichtbar geworden sei.
Die Kanzleiinhaberin ruft ihren Office-Manager und fragt, was es mit der Website eigentlich auf sich habe. Was er antwortet, kennt nahezu jede Kanzlei: Ende 2021 habe eine ortsansässige Agentur das Ganze neu aufgesetzt. WordPress-Template, einige Plugins für Kontaktformular, Terminbuchung und News, ein Cookie-Banner aus einem CMP-Marktplatz, eine Datenschutzerklärung aus dem Generator. Das Ergebnis sehe professionell aus, funktioniere auf allen Endgeräten und sei intern als «rechtssicher abgenommen» verbucht worden. Seitdem: gelegentliche Theme-Updates, ein neues Plugin für die Karriereseite, dann Stille. Was zuletzt am Code geändert wurde, weiß niemand mehr genau.
Was als Bagatelle beginnt – die irritierte Frage einer Mandantin –, führt in den folgenden Tagen zu einer ebenso banalen wie unangenehmen Erkenntnis: Die Kanzlei weiß nicht, was auf ihrer eigenen Website tatsächlich geschieht. Banner und Datenschutzerklärung sind nichts weiter als die sichtbare Oberfläche eines Themas, dessen Substanz technischer und prozessualer Natur ist. Sie beschreiben, was passieren soll. Was tatsächlich passiert, kontrollieren sie nicht. Genau hier beginnt das Missverständnis, das sich bei jeder zweiten Website eines Steuerberaters oder einer Kanzlei wiederfindet. Datenschutz ist in diesem Kontext kein Textthema. Es ist die Frage, welche Datenflüsse in der Sekunde eines Aufrufs angestoßen werden, wer Vertragspartner für welche Verarbeitung ist und wer den Zustand regelmäßig prüft.
Eine moderne Website ist kein in sich geschlossenes Objekt mehr. Sie gleicht eher einem Empfangsgebäude mit vielen Türen – und die meisten dieser Türen führen nicht in das eigene Haus, sondern zu Servern fremder Anbieter. Sobald ein Browser die Startseite aufruft, beginnt im Hintergrund ein orchestriertes Geschehen: Verbindungen werden aufgebaut, Skripte nachgeladen, Daten ausgetauscht. In den ersten Sekunden, noch bevor der erste Buchstabe auf dem Bildschirm sichtbar wird, sind oft schon ein Dutzend dritte Parteien am Werk. Das gilt für die Website einer Kanzlei ebenso wie für die ihrer Mandanten — vom Maschinenbauer bis zur Klinik.
Welche Bausteine das im Einzelnen sind, lässt sich gut pauschalisieren, denn die Standard-Komponenten heutiger Websites wiederholen sich. Typischerweise findet man:
Schriftarten, die direkt von Google-Servern in den USA nachgeladen werden, weil das Theme das so vorsieht
Eine Karte zur Standortanzeige, die Tiles bei Google Maps oder OpenStreetMap abruft und dabei die IP-Adresse des Besuchers mitsendet
Ein YouTube-Video oder bereits dessen Vorschaubild, das Cookies setzt, lange bevor jemand auf „Play“ klickt
Einen Anti-Spam-Dienst wie reCAPTCHA, der im Hintergrund Verhaltensdaten erhebt
Einen Tag Manager und ein oder zwei Analytics-Skripte, die Pageviews und Klickpfade aufzeichnen
Externe Icon-Bibliotheken oder JavaScript-Frameworks von Drittanbieter-Servern (sogenannten Content Delivery Networks)
Einbettungen sozialer Medien – der LinkedIn-Button etwa lädt sich nicht selbst, er bringt seine eigenen Tracker mit
Plugins für Newsletter, Terminbuchung oder Live-Chat, die jeweils ein eigenes Datenfeld bedienen
Werbe-Pixel, die aus früheren Kampagnen-Setups stammen – und mitunter jahrelang vergessen werden
Mechanismen zur Schriften-Vorladung, die unbemerkt eine zweite Verbindung zum Schriftenanbieter aufbauen, obwohl die Schriften lokal hinterlegt geglaubt sind
Das Entscheidende: All das geschieht, bevor der Besucher das Cookie-Banner überhaupt zu Gesicht bekommen hat. Der Banner suggeriert eine Wahlmöglichkeit, obwohl bestimmte Datenflüsse technisch bereits vor der eigentlichen Einwilligung ausgelöst werden. Wer solche Datenflüsse nie überprüft hat, hat häufig keinen vollständigen Überblick darüber, welche externen Verbindungen die eigene Website tatsächlich aufbaut. Mit gängigen Browser-Analysewerkzeugen ist diese Lücke in wenigen Minuten sichtbar zu machen. Im Fall der Kanzlei aus dem Eingangsbeispiel zeigte ein solcher Test übrigens, dass ein Werbe-Pixel aus einem vergessenen Kampagnen-Setup einer Agentur-Vorlage seit 2021 unauffällig mitlief. Niemand wusste davon. Niemand hatte je danach gefragt.
Wer Kanzlei-Websites regelmäßig prüft, sieht ähnliche Befunde in ähnlicher Reihenfolge wieder. Fünf davon tauchen so verlässlich auf, dass sie ein Standard-Repertoire bilden.
Tracking ohne wirksame Einwilligung. Das Banner ist so gestaltet, dass «Alle akzeptieren» einladend in der Mitte prangt, während «Ablehnen» zwei Klicks tiefer im Untermenü versteckt liegt – mitunter in einer Farbgebung, die als Kontrast kaum noch wahrnehmbar ist. Das kann die Wirksamkeit der Einwilligung beeinträchtigen, insbesondere wenn Ablehnungsoptionen deutlich schwerer erreichbar sind als Zusatzoptionen.
Drittdienste ohne dokumentierte Vereinbarung. Die Kanzlei nutzt ein Newsletter-Tool, einen US-amerikanischen Terminbuchungsdienst, ein Webformular-Plugin oder ein KI-gestütztes Chatbot-Widget. Theoretisch sollte für jeden dieser Dienste ein Auftragsverarbeitungsvertrag vorliegen, in dem geregelt ist, wer was mit den Daten tun darf. Praktisch findet sich dieser Vertrag entweder gar nicht oder unauffindbar im Mailpostfach eines vor Jahren ausgeschiedenen Kollegen.
Kontaktformulare ohne saubere Zweckbindung. Das Formular fragt nach Name, E-Mail, Telefon, Anliegen – und gelegentlich, wohlmeinend, nach «Ihrer Steuernummer für eine erste Einschätzung». Was anschließend mit den Daten geschieht, ist nirgends erläutert. Pflichtfelder sind nicht markiert. Eine Trennung zwischen «zwingend erforderlich» und «nur nützlich» findet nicht statt.
Newsletter ohne nachweisbare Anmeldung. Es existiert eine Verteilerliste, sie wird gelegentlich bespielt, und niemand könnte verbindlich sagen, wann und wie die Empfänger der Jahre 2018 bis 2021 ursprünglich eingewilligt haben. Auf eine Nachfrage der Aufsichtsbehörde gäbe es keine belastbare Antwort.
Mandantenportal-Einbindungen mit unklaren Datenflüssen. Die DATEV-Login-Schaltfläche ist direkt eingebunden, der Klick führt durch zwei oder drei Weiterleitungen, ein Tracking-Pixel läuft mit, und wer welche Referrer-Daten dabei zu sehen bekommt, hat nie jemand dokumentiert.
Jeder dieser Punkte ist für sich genommen klein. Was sie zusammen ergeben, ist das, was Aufsichtsbehörden trocken als «strukturelles Versagen der technischen und organisatorischen Maßnahmen» (TOM) bezeichnen – und was die Mandantin aus dem Eingangsbeispiel als irritierende Werbeanzeige am eigenen Bildschirm erlebt hat.
Was die Website einer Steuerberatungskanzlei von der Website jedes anderen Mittelständlers unterscheidet, ist die Sensibilität des bloßen Besuchs. Niemand verrät etwas, wenn er die Website des Restaurants um die Ecke aufruft. Wer hingegen die Seite einer Kanzlei aufsucht, die mit Selbstanzeigen, Sanierungsberatung oder Nachfolgegestaltung wirbt, sehr wohl. Allein die Information, dass eine bestimmte Person sich auf einer bestimmten Schwerpunkt-Seite umgesehen hat, kann genügen, um ein Mandat zu beschädigen. Und genau diese Information geht über jeden mitgeladenen Tracker hinaus an Dritte – häufig in Länder mit deutlich geringerem Datenschutzniveau als dem deutschen.
Hinzu kommt die berufsrechtliche Dimension. Die Verschwiegenheitspflicht bleibt auch bei der Einbindung externer Dienstleister vollständig beim Berufsträger verankert und erfordert daher besondere technische und organisatorische Absicherungen. Wenn Mandanteninformationen über die Website-Infrastruktur in unkontrollierte Drittlandverarbeitungen abfließen, ist das nicht nur ein abstrakter Datenschutzverstoß – es kann zu einem Verschwiegenheitsproblem werden, das bis zur Steuerberaterkammer reicht.
Und es gibt eine dritte Ebene, die in der Diskussion oft untergeht. Steuerberatungskanzleien sind aus Sicht von Angreifern ein dankbares Ziel. Wer es schafft, über ein veraltetes Plugin in das WordPress einer Kanzlei einzudringen, hat oft schon den ersten Brückenkopf in Richtung Mandanten-Mailverkehr, vergessener PDFs im Downloadbereich oder schlecht gesicherter Login-Schnittstellen. Die Website ist nicht die Visitenkarte der Kanzlei. Sie ist ihre exponierteste Außenfläche – und wird in der Praxis häufig viel unregelmäßiger geprüft als interne Systeme. Aus Mandantensicht macht das einen entscheidenden Unterschied: Wer einen Steuerberater in einer schwierigen Lage konsultiert, sucht keinen Komfort, sondern Diskretion. Genau diese Geschäftsgrundlage hat die Mandantin aus unserem Beispiel mit ihrer einen Mail in Frage gestellt.
An dieser Stelle wäre es einfach, mit großen Bußgeldzahlen zu argumentieren. Das wäre allerdings unredlich, denn die wahrscheinlichste Folge für eine durchschnittliche Steuerberatungskanzlei sieht weit unspektakulärer aus. Vier Konsequenz-Ebenen sind realistisch – und eine fünfte wird gerne übersehen.
Aufsichtsbehörden verhängen seltener Bußgelder als sie Auflagen formulieren: Anpassung der Banner-Mechanik binnen Frist, Stilllegung bestimmter Drittdienste, Vorlage einer dokumentierten Auftragsverarbeitungs-Kette. Aufwendig, aber überschaubar.
Zivilrechtlich ist das Bild komplizierter. Seit der Google-Fonts-Welle haben sich Massenabmahnungen etabliert, mit denen einzelne Websitebesucher oder spezialisierte Kanzleien dreistellige Beträge pro Vorfall fordern. Dieses Geschäftsmodell ist juristisch nicht ausgestanden – der Bundesgerichtshof hat 2025 zentrale Fragen zur Schadensersatzpflicht und zum möglichen Rechtsmissbrauch dem Europäischen Gerichtshof vorgelegt. Bis dort entschieden ist, bleibt vieles in der Schwebe. Das individuelle Risiko einer berechtigten Einzelabmahnung bleibt davon unberührt.
Berufsrechtlich wird die Steuerberaterkammer aufmerksam, sobald eine Beschwerde dort einläuft. Was dann folgt, reicht von der Rüge bis zum standesrechtlichen Verfahren – je nach Schwere und Wiederholung.
Reputationell ist meist die unterschätzteste, in Wahrheit aber die durchgreifendste Konsequenz. Ein Bestandsmandant, der mitbekommt, dass seine Beratungsbeziehung über eine trackerverseuchte Seite möglicherweise sichtbar geworden ist, wechselt nicht laut, sondern leise. Und er erzählt es weiter. Im Eingangsbeispiel wären drei Telefonate der Mandantin in einem klar definierten Mittelstandsmilieu vermutlich genug, um den Schaden anzurichten, vor dem das Bußgeld nicht schützt.
Bleibt die fünfte Ebene: die eigene Cyberversicherung. Viele Policen knüpfen die Leistungspflicht ausdrücklich an Mindeststandards der technisch-organisatorischen Maßnahmen. Wer nach einem Vorfall nicht nachweisen kann, dass die Website regelmäßig geprüft, Plugins aktualisiert und Drittdienste vertraglich abgesichert wurden, riskiert Deckungsdiskussionen oder Einschränkungen im Versicherungsschutz – und zwar genau in dem Moment, in dem die Versicherung eigentlich greifen sollte.
Die gute Nachricht zuerst: Eine datenschutzfreundliche Kanzlei-Website ist weder technisch aufwendig noch eine Frage des Budgets. Sie folgt einigen wenigen Prinzipien, die sich in wenigen Sätzen zusammenfassen lassen.
Wenig ist mehr. Jeder Drittdienst, der nicht eingebunden ist, kann auch keine Daten ausleiten. Die Frage «brauchen wir das wirklich?» erspart in der Praxis zehn Compliance-Diskussionen. Lokal gehostete Schriften, ein einfaches Kontaktformular ohne externes Plugin, eine statische Karte statt einer Live-Karten-Einbindung – das alles spart Datenflüsse und vereinfacht die Dokumentation.
Echte Wahlfreiheit im Banner. «Alle akzeptieren» und «Alle ablehnen» stehen gleichwertig nebeneinander. Vor der Interaktion läuft ausschließlich, was technisch nicht anders gelöst werden kann.
Saubere Vertragslage. Für jeden Drittdienst – vom Hoster über den Mailprovider bis zum Webformular – existiert eine dokumentierte Auftragsverarbeitungs-Vereinbarung, abgelegt an einem Ort, an dem sie auch fünf Jahre später noch aufzufinden ist.
Re-Audit als Routine. Nach jedem Theme-Update, jedem Plugin-Wechsel, jedem Relaunch wird kurz nachgeschaut, was die Seite tatsächlich lädt. Einmal jährlich ohnehin. Das ist eine geringe Aufgabe, wenn sie regelmäßig erledigt wird. Sie wird zu einem erheblichen Aufwand, wenn man fünf Jahre verstreichen lässt.
Das eigentlich Bemerkenswerte ist: Eine schlanke, datenschutzfreundliche Website ist für eine Steuerberatungskanzlei oft auch die wirksamste. Mandanten suchen Klarheit, Vertrauen und kurze Ladezeiten. Sie suchen weder Bewegtbilder noch animierte Hero-Sektionen und schon gar keinen Chatbot. Datenschutzkonformität und professioneller Außenauftritt sind in diesem Berufsfeld keine Gegensätze. Sie sind dieselbe Sache.
Die folgenden zwölf Fragen kann jede Kanzleiinhaberin und jeder Kanzleipartner ohne IT-Hintergrund in einer halben Stunde durchgehen. Sie ersetzen keinen Audit, aber sie zeigen verlässlich an, ob ein Audit erforderlich ist.
Wird beim ersten Aufruf Ihrer Startseite – vor jeder Banner-Interaktion – eine Verbindung zu Servern außerhalb Ihres eigenen Hostings aufgebaut?
Wann wurde Ihre Datenschutzerklärung zuletzt aktualisiert? Liegt das länger als zwölf Monate zurück?
Existiert eine schriftliche Auftragsverarbeitungs-Vereinbarung mit Ihrem Webhoster, und wissen Sie, wo sie abgelegt ist?
Dasselbe für Ihren Mailprovider, Ihren Newsletter-Dienst und Ihren Terminbuchungs-Anbieter?
Lädt Ihre Seite Schriften, Karten oder Videos direkt von Servern Dritter – insbesondere aus den USA?
Bietet Ihr Cookie-Banner «Ablehnen» gleichwertig und gleich erreichbar wie «Akzeptieren»?
Wer in Ihrer Kanzlei ist namentlich für die Website verantwortlich – und weiß diese Person, was zuletzt am Code geändert wurde?
Wird Ihr Kontaktformular über eine verschlüsselte Verbindung übertragen, und ist neben dem Absende-Button ein klarer Datenschutzhinweis platziert?
Können Sie die Einwilligungsnachweise Ihrer aktuellen Newsletter-Empfänger bis zur ursprünglichen Anmeldung zurückverfolgen?
Wann wurden zuletzt Ihre WordPress-Plugins (oder die entsprechende CMS-Komponente) aktualisiert?
Wer überprüft Ihre Website nach jedem Update darauf, ob sich die geladenen Drittdienste verändert haben?
Wann wurde zuletzt geprüft, ob Ihre Login- und Mandantenportal-Schnittstellen aktuelle Sicherheitsstandards erfüllen?
Wer sieben oder mehr dieser Fragen nicht klar beantworten kann, dessen Website hat Prüfbedarf. Wer alle zwölf klar beantworten kann, gehört zu einer beneidenswerten Minderheit. Wer keine beantwortet, weiß zumindest, wo die wichtigste Aufgabe liegt. Die Mandantin aus dem Eingangsbeispiel hat ihre Frage so freundlich gestellt, wie es langjährige Mandantinnen tun. Solche Rückmeldungen sind ein Geschenk — denn sie geben der Kanzlei die Chance, etwas zu klären, bevor es zu Schlussfolgerungen führt, von denen sie nichts erfährt.
Die DATA Security GmbH prüft Websites von Steuerberatungskanzleien auf genau jene Schwachstellen, die in diesem Beitrag beschrieben sind. Den Einstieg bildet ein kostenloser Quick-Check: eine kompakte Erstanalyse, die in wenigen Minuten zeigt, wo Ihre Website aktuell steht und ob eine vertiefte Prüfung sinnvoll ist. Aus den Mandaten der vergangenen Jahre wissen wir: Bei den meisten Kanzleien sind die Befunde überraschend — und zwar nicht, weil dort nachlässig gearbeitet würde, sondern weil die relevanten Lücken außerhalb des täglichen Sichtfelds liegen.
Unverbindliches Gespräch vereinbaren
Die nachfolgenden Quellen wurden für die rechtliche und tatsächliche Aktualität dieses Beitrags konsultiert (Stand: Mai 2026). Sie sind nach Themenblöcken geordnet.
Rechtsgrundlagen und behördliche Leitlinien
Aktuelle Rechtsprechung zu Web-Tracking
EU-Reformvorhaben (laufend)
Weiterführende Praxisliteratur und Branchen-Leitfäden
Hinweis: Dieser Beitrag dient der allgemeinen fachlichen Information. Er ersetzt keine Beratung im Einzelfall. Die zitierten Rechtsprechungen zu Massenabmahnungen befinden sich im Stand Mai 2026 in einem dynamischen Entwicklungsprozess; die EuGH-Entscheidung zur Vorlage des BGH steht aus.