§203 StGB und KI-Software: Was Steuerberater wissen müssen

Darf eine KI Mandantendaten verarbeiten? §203 StGB, DSGVO und AV-Vertrag einfach erklärt – mit Checkliste fuer compliant KI-Tools in Steuerkanzleien.

"Darf ich überhaupt KI-Tools einsetzen, wenn Mandantendaten verarbeitet werden?"

Das ist die Frage, die wir am häufigsten hören und sie ist berechtigt. Steuerberater unterliegen der Verschwiegenheitspflicht nach §203 StGB. Ein Verstoß ist kein Kavaliersdelikt: Er kann strafrechtliche Konsequenzen haben.

Die gute Nachricht: Der Einsatz von KI-Software in der Steuerkanzlei ist rechtlich möglich – wenn man die richtigen Anforderungen prüft. Dieser Leitfaden erklärt, was §203 StGB KI-Software für Steuerberater konkret bedeutet, welche vier Kriterien entscheidend sind und wie du schnell prüfst, ob ein Anbieter compliant ist.

Was §203 StGB für KI-Tools bedeutet

§203 StGB schützt das Berufsgeheimnis. Steuerberater sind verpflichtet, alle Informationen, die ihnen im Rahmen ihrer Tätigkeit anvertraut werden, vertraulich zu behandeln – auch gegenüber technischen Dienstleistern.

Das bedeutet konkret: Wenn ein KI-Tool E-Mails mit Mandantendaten verarbeitet, ist der Anbieter dieses Tools in den Kreis der "mitwirkenden Personen" einzubeziehen. Er muss auf das Berufsgeheimnis verpflichtet sein – sowohl vertraglich als auch faktisch durch seine technische Infrastruktur.

§62a StBerG präzisiert dies: Personen und Einrichtungen, die Steuerberater bei beruflichen Tätigkeiten unterstützen, müssen auf die Verschwiegenheit verpflichtet werden.

Die vier Kernanforderungen für §203-konforme KI-Software

1. Datenverarbeitung ausschließlich in der EU

KI-Tools, die E-Mails mit Mandantendaten verarbeiten, dürfen diese Daten nicht auf Server außerhalb der EU übertragen. Das schließt US-amerikanische Cloud-Dienste wie OpenAI oder AWS US grundsätzlich aus – es sei denn, es existieren spezifische EU-Datenschutzgarantien und Standardvertragsklauseln.

Best Practice: Achte auf explizites EU-Hosting, idealerweise in Deutschland (z.B. Google Cloud Frankfurt, europe-west3).

2. Auftragsverarbeitungverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO

Jeder Anbieter, der personenbezogene Daten im Auftrag der Kanzlei verarbeitet, muss einen AV-Vertrag abschließen. Ohne diesen Vertrag ist der Einsatz nicht DSGVO-konform – egal wie gut das Tool technisch ist.

Prüfe: Stellt der Anbieter den AV-Vertrag standardmäßig bereit? Ist er bereits Teil des Onboardings?

3. Zero Data Retention - keine dauerhafte Speicherung

Mandantendaten aus E-Mails sollten nicht dauerhaft beim KI-Anbieter gespeichert werden. Das Prinzip "Zero Data Retention" bedeutet: Die KI verarbeitet den E-Mail-Inhalt für die Klassifikation und verwirft ihn danach. Keine Langzeitspeicherung, keine Nutzung für KI-Training.

Frage aktiv nach: Wie lange werden E-Mail-Inhalte gespeichert? Werden sie für das Training von KI-Modellen verwendet?

4. Berufsgeheimnissverpflichtung des Anbieters

Der KI-Anbieter muss vertraglich auf das Berufsgeheimnis verpflichtet sein – explizit, nicht nur implizit über allgemeine Datenschutzklauseln. Prüfe AGB und AV-Vertrag auf entsprechende Formulierungen.

Checkliste: §203-konforme KI-Software

Nutze diese Checkliste, bevor du ein KI-Tool in deiner Kanzlei einsetzt:

  • EU-Hosting bestätigt (Deutschland bevorzugt)
  • AV-Vertrag nach Art. 28 DSGVO vorhanden und unterzeichnet
  • Zero Data Retention oder nachweislich minimale Speicherung
  • Berufsgeheimnissverpflichtung im AV-Vertrag oder AGB explizit geregelt
  • ISO 27001 Zertifizierung (empfohlen)
  • Keine Datenweitergabe an US-Dienste wie OpenAI

Häufige Fehler bei der Compliance-Prüfung

Drei Fehler sehen wir immer wieder:

  1. "Das Tool ist DSGVO-konform" reicht nicht. DSGVO-Konformität ist eine Grundvoraussetzung, keine Aussage über §203 StGB. Frage explizit nach der Berufsgeheimnisse Verpflichtung.
  2. Den AV-Vertrag nicht prüfen. Manche Anbieter stellen ihn auf Anfrage bereit – aber viele Kanzleien fragen nie danach. Ohne unterzeichneten AV-Vertrag läuft der Einsatz außerhalb der DSGVO.
  3. EU-Hosting annehmen statt prüfen. "Europäische Server" ist nicht dasselbe wie "keine Datenweitergabe an US-Mutterkonzern". Frage konkret nach dem Datenfluss.

Wie Clara §203 StGB umsetzt

Clara ist darauf ausgelegt, alle vier Kernanforderungen zu erfuellen: Google Cloud Frankfurt (europe-west3) als Hosting-Standort, ISO 27001-Zertifizierung, Zero Data Retention für E-Mail-Inhalte und explizite Berufsgeheimnissverpflichtung im AV-Vertrag.

Alle technischen Details, Zertifizierungen und Vertragsdokumente findest du im Trust Center: clara-agent.de/trust-center

Weiterlesen: KI in der Steuerberatung: Was heute wirklich möglich ist

Weitere Artikel

March 17, 2026

Beste KI-Software fuer Steuerberater 2026: Der Vergleich

March 17, 2026

DATEV und Outlook: Integration, Grenzen und Alternativen 2026

March 17, 2026

Wie viel Zeit verliert deine Kanzlei mit E-Mails?

Mehr Zeit für das Wesentliche - Dank Clara

Entdecken Sie die Vorteile von Clara für Ihr Team

Termin vereinbaren

Termin vereinbaren

Clara KI-Agent Illustration – Befreien Sie Ihre Steuerkanzlei vom E-Mail-Chaos und gewinnen Sie mehr Zeit für das Wesentliche
StartseitePreiseÜber UnsArtikel
FunktionenKarriereKontakt
LinkedIn

Verpassen Sie keine wichtigen Updates!

© Copyright 2026. Clara ist eine Marke der Nova Unternehmensberatung & -beteiligung GmbH

Impressum
|
AGBs
|
Datenschutzbestimmungen