Berufsgeheimnis vs. Cyberangriff – Steuerberater im rechtlichen Dilemma

Das Dilemma beginnt um 23:47 Uhr

Es ist Montagabend, 23:47 Uhr. Ihr IT-Administrator ruft an: „Wir haben ein massives Problem. Ransomware. Alle Mandantendaten verschlüsselt. Die Täter fordern 50.000 Euro.“

Ihnen bleibt die Luft weg. Jahresabschlüsse, Lohnabrechnungen, Steuererklärungen – alles weg. Aber das ist nicht Ihr größtes Problem.

Die Uhr beginnt zu ticken. 72 Stunden, bis Sie die Datenpanne der Datenschutzbehörde melden müssen. So will es Artikel 33 der DSGVO. Doch was genau sollen Sie melden? Namen Ihrer Mandanten? Art der Daten? Umfang des Schadens?

Moment. § 203 StGB ist glasklar: Die Verletzung von Privatgeheimnissen steht unter Strafe. Bis zu einem Jahr Freiheitsstrafe oder Geldstrafe. Die Offenbarung von Mandantendaten – und sei es gegenüber einer Behörde – könnte Sie ins Gefängnis bringen.

Willkommen im rechtlichen Dilemma, in dem sich immer mehr Steuerberater nach einem Cyberangriff wiederfinden. Schweigen Sie, drohen DSGVO-Bußgelder bis 20 Millionen Euro. Reden Sie, riskieren Sie strafrechtliche Verfolgung und zivilrechtliche Klagen Ihrer Mandanten.

Es gibt keinen klaren Ausweg. Aber es gibt eine Lösung – und die heißt: Prävention.

Schweigepflicht: Das Fundament Ihres Berufs

Ihre Verschwiegenheitspflicht ist keine Formalie. Sie ist das Fundament Ihres Berufs.

§ 57 Absatz 1 StBerG verpflichtet Sie, Ihren Beruf „verschwiegen“ auszuüben. Die Verschwiegenheitspflicht bezieht sich auf alles, was Ihnen in Ausübung des Berufs bekannt geworden ist. Schon die Tatsache, dass ein Mandat besteht, fällt darunter.

§ 203 Absatz 1 Nummer 3 StGB bewehrt diese Pflicht strafrechtlich: Wer unbefugt ein fremdes Geheimnis offenbart, das ihm als Steuerberater anvertraut wurde, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Doch damit nicht genug. Bei Verletzung der Schweigepflicht drohen Ihnen gleich drei Sanktionsebenen:

Strafrechtlich: § 203 StGB – Geldstrafe oder Freiheitsstrafe

Berufsrechtlich: §§ 81, 89, 90 StBerG – von der Rüge bis zur Ausschließung aus dem Beruf

Zivilrechtlich: Schadenersatzansprüche Ihrer Mandanten aus dem Mandatsvertrag und aus unerlaubter Handlung (§ 823 Absatz 2 BGB)

Die Rechtsprechung nimmt das ernst. Der BGH entschied bereits 1996, dass die Veräußerung einer Steuerberaterpraxis ohne Zustimmung der Mandanten gegen § 203 StGB verstößt und nichtig ist. Selbst bei wirtschaftlichen Interessen der Kanzlei gilt: Das Berufsgeheimnis geht vor.

Und jetzt kommt der Cyberangriff.

DSGVO-Meldepflichten: Wenn die Datenpanne eintritt

Die Datenschutz-Grundverordnung kennt keine Gnade. Artikel 33 DSGVO verpflichtet Sie zur Meldung einer Verletzung des Schutzes personenbezogener Daten „unverzüglich und möglichst binnen 72 Stunden“ an die zuständige Aufsichtsbehörde.

Die Meldung muss enthalten:

• Eine Beschreibung der Art der Verletzung
• Kategorien und ungefähre Anzahl betroffener Personen
• Name und Kontaktdaten Ihres Datenschutzbeauftragten
• Wahrscheinliche Folgen der Verletzung
• Ergriffene oder vorgeschlagene Maßnahmen

Anders als früher nach § 42a BDSG gilt die Meldepflicht nicht nur bei „sensiblen“ Daten. Jede Datenpanne mit mehr als geringem Risiko für die Rechte und Freiheiten der Betroffenen ist meldepflichtig.

Noch kritischer: Artikel 34 DSGVO fordert bei „hohem Risiko“ zusätzlich die unverzügliche Benachrichtigung der betroffenen Mandanten. Und genau hier wird es brisant.

Der Erwägungsgrund 75 der DSGVO nennt ausdrücklich als Beispiel für ein hohes Risiko: den „Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten“.

Anders formuliert: Wenn Mandantendaten eines Steuerberaters bei einer Datenpanne kompromittiert werden, liegt per Definition ein hohes Risiko vor. Sie müssen also nicht nur die Behörde informieren, sondern auch Ihre Mandanten.

Die Bußgelder: Auch wenn Ihnen als Steuerberater nicht gleich die Höchststrafe von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes droht – diese Summen wurden bisher primär gegen die großen US-Tech-Konzerne verhängt – können die Bußgelder doch empfindlich sein. Aufsichtsbehörden orientieren sich bei KMU an Umsatz, Schwere des Verstoßes und Verschulden. Bereits Bußgelder im fünfstelligen Bereich können für eine mittelständische Kanzlei existenzbedrohend sein. Hinzu kommen Schadensersatzansprüche der Betroffenen nach Artikel 82 DSGVO.

Das Problem: Um die Meldepflicht zu erfüllen, müssen Sie offenlegen, welche Mandantendaten betroffen sind. Genau das könnte ein Verstoß gegen § 203 StGB sein.

Der Konflikt: Schweigen oder melden?

Stellen Sie sich vor: Hacker haben Ihre Kanzlei infiltriert. 4.500 Mandantendatensätze sind kompromittiert. Steuer-IDs, Kontoauszüge, Gehaltsdaten, sensible Unternehmenskennzahlen.

Variante 1: Sie melden der Aufsichtsbehörde

Sie erfüllen Ihre DSGVO-Pflicht. Übermitteln Namen, Art und Umfang der betroffenen Daten. Informieren Ihre Mandanten über die Datenpanne.

Risiko: Ein Mandant verklagt Sie wegen Verletzung der Schweigepflicht. Argument: Sie hätten ohne seine Einwilligung sein Berufsgeheimnis gegenüber einer Behörde offenbart. § 203 StGB kennt keine Ausnahme für Datenschutzbehörden. Die Staatsanwaltschaft ermittelt.

Variante 2: Sie schweigen

Sie berufen sich auf § 203 StGB. Keine Meldung. Keine Offenbarung. Schweigepflicht über alles.

Risiko: Die Aufsichtsbehörde erfährt von der Panne – etwa weil betroffene Mandanten selbst Beschwerde einreichen. Bußgeldverfahren wegen Verstoßes gegen Art. 33 und 34 DSGVO. Auch wenn die Millionen-Bußgelder, die man aus den Medien kennt, primär Tech-Konzernen vorbehalten sind: Für eine Kanzlei mit 50 Mitarbeitern kann bereits ein fünfstelliges Bußgeld plus Anwalts- und Verfahrenskosten wirtschaftlich dramatisch sein. Hinzu kommt: Ein Betroffener klagt auf Schadensersatz nach Art. 82 DSGVO. Er gewinnt – denn Sie haben nicht gemeldet.

Die unbequeme Wahrheit: Es gibt keine sichere Variante.

Der Europäische Gerichtshof verschärfte die Lage zusätzlich. Im Urteil C-340/21 vom Dezember 2023 stellte er klar: Nach einem Cyberangriff trägt der Verantwortliche die Beweislast dafür, dass die Datenverarbeitung angemessene Sicherheit aufweist. Sie können sich nicht pauschal mit dem Argument exkulpieren, dass Dritte (die Hacker) den Verstoß verursacht haben.

Anders gesagt: Waren Ihre Sicherheitsmaßnahmen unzureichend, haften Sie – egal ob Sie melden oder nicht.

Haftungsrisiken: Wer zahlt, wenn Mandantendaten verloren gehen?

Ein Cyberangriff auf Ihre Kanzlei löst eine Kaskade von Haftungsrisiken aus.

Zivilrechtlich – Schadensersatz aus dem Mandatsvertrag

Die Verschwiegenheitspflicht ergibt sich zivilrechtlich als Nebenpflicht aus dem Geschäftsbesorgungsvertrag mit Ihrem Mandanten. Ein Verstoß – sei es durch unzureichende IT-Sicherheit oder durch die Offenbarung im Rahmen einer DSGVO-Meldung – kann zu Schadenersatzansprüchen führen.

Datenschutzrechtlich – Artikel 82 DSGVO

Jede betroffene Person hat Anspruch auf Schadensersatz gegen den Verantwortlichen. Das gilt für materielle und immaterielle Schäden. Gerichte sprechen bei Datenpannen zunehmend Schadensersatz im vierstelligen Bereich zu.

Berufsrechtlich – Disziplinarverfahren

Ihre Steuerberaterkammer kann gegen Sie vorgehen: Rüge, Warnung, Verweis, Geldbuße bis 50.000 Euro – im Extremfall die Ausschließung aus dem Beruf.

Praxisbeispiele aus der Rechtsprechung:

• Gestohlenes Smartphone: Einem Steuerberater wird das Smartphone mit vertraulichen Unterlagen eines Mandanten gestohlen. Die Daten landen kurze Zeit später im Internet. Der Mandant macht eine vertraglich vereinbarte Vertragsstrafe von 50.000 Euro geltend.
• Virus im Kanzlei-System: Das Computer-System einer Kanzlei ist mit einem Virus befallen. Durch den Versand von E-Mails an mehrere Mandanten werden auch deren Computer infiziert. Schadensersatzforderungen für Wiederherstellung der Systeme: über 100.000 Euro.

Das Trugbild Cyberversicherung

Viele Kanzleien glauben, ihre Cyberversicherung decke alle Schäden ab. Doch Vorsicht: Vermögensschaden-Haftpflichtversicherungen greifen oft nur bei Fehlern und Versäumnissen, nicht bei reinen Cyber-Eigenschäden. Elektronikversicherungen decken Hardware-Schäden ab, aber keine Datenverluste durch Cyber-Attacken.

Das Risiko ist existenzbedrohend – besonders für kleine und mittlere Kanzleien.

Handlungsempfehlungen: Prävention ist Ihr einziger Ausweg

Die gute Nachricht: Sie müssen sich nicht zwischen Schweigepflicht und DSGVO-Meldepflicht entscheiden.

Die Lösung heißt: Das Dilemma gar nicht erst entstehen lassen.

Technische Sicherheitsmaßnahmen

• Verschlüsselung: Mandantendaten müssen Ende-zu-Ende verschlüsselt sein. Wenn Daten verschlüsselt sind und der Schlüssel sicher verwahrt wird, entfällt bei Datenverlust die Benachrichtigungspflicht nach Art. 34 Abs. 3 lit. a DSGVO.
• Backup-Strategie: 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 Kopie offline/extern. Testen Sie Ihre Backups regelmäßig.
• Multi-Faktor-Authentifizierung (MFA): Für alle Systeme mit Mandantendatenzugriff. Keine Ausnahmen.
• Endpoint Protection: Moderne Antiviren-Lösungen, Firewall, regelmäßige Updates.

Organisatorische Maßnahmen

• Datenschutzkonzept: Dokumentieren Sie Ihre technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO. Im Haftungsfall trägen Sie die Beweislast.
• Notfallplan bei Datenpannen: Definieren Sie vorab, wer was wann tut. Task Force aus IT-Leiter, Datenschutzbeauftragtem, Geschäftsführung – und idealerweise einem externen Datenschutzberater und Anwalt.
• Datenpannen-Protokoll: Dokumentieren Sie jede Datenpanne schriftlich – auch wenn Sie keine Meldepflicht sehen. Art. 33 Abs. 5 DSGVO fordert dies ausdrücklich.

Das Wichtigste: Security Awareness Training

Hier die unbequeme Wahrheit: 90 Prozent aller Cyberangriffe beginnen mit Phishing. Ein Mitarbeiter klickt auf einen Link in einer gefälschten E-Mail. Fertig.

Ihre Firewall schützt nicht vor menschlichen Fehlern. Ihre Mitarbeiter sind Ihre erste – und wichtigste – Verteidigungslinie.

Security Awareness Training bedeutet:

• Regelmäßige Schulungen zu Phishing, Ransomware, Social Engineering
• Simulierte Phishing-Tests, um das Risikobewusstsein zu schärfen
• Klare Handlungsanweisungen für den Ernstfall

Fazit: Nur wer präventiv handelt, vermeidet die rechtliche Zwickmühle zwischen Berufsgeheimnis und Meldepflicht. Investieren Sie in IT-Sicherheit – nicht in Anwälte und Bußgelder.

Häufig gestellte Fragen (FAQ)

Security Awareness Toolbox für Steuerberater

Genau hier setzt die Security Awareness Toolbox an. Speziell für Steuerberater und Rechtsanwälte entwickelt.

Was Sie erhalten:

• Mitarbeiterschulungen mit fertigen Video-Tutorials, Schulungsskripten und Tests
• Phishing-Simulationen mit Beispielen aus dem Kanzleialltag
• Notfallpläne für Datenpannen – rechtssicher und praxiserprobt

Alles fertig. Sofort einsatzbereit. Keine Vorkenntnisse nötig.

Ihre Mitarbeiter werden zur Human Firewall. Ihre Kanzlei wird sicherer. Sie schlafen nachts besser.

👉 Mehr erfahren