Die Digitalisierung der Kanzleipraxis ist längst Realität. Cloud-Lösungen steigern die Effizienz und ermöglichen ortsunabhängiges Arbeiten, zugleich rücken jedoch straf- und berufsrechtliche Anforderungen stärker in den Fokus. Für Berufsträger steht dabei einiges auf dem Spiel: Neben zivilrechtlichen Haftungsansprüchen können bei unsachgemäßem Outsourcing auch berufsrechtliche Sanktionen und im Einzelfall strafrechtliche Konsequenzen wegen der Verletzung von Privatgeheimnissen drohen.
Im Zentrum der IT-Compliance steht das Zusammenspiel zwischen dem Strafgesetzbuch und den berufsrechtlichen Spezialnormen, insbesondere § 62a StBerG.
Strafrechtlicher Schutz: Das Berufsgeheimnis nach § 203 StGB
Der Schutz des Mandantengeheimnisses ist kein bloßes Standesprivileg, sondern ein strafrechtlich geschütztes Gut. Nach § 203 StGB macht sich strafbar, wer unbefugt ein fremdes Geheimnis offenbart, das ihm als Steuerberater oder Rechtsanwalt anvertraut wurde.
In der Cloud-Praxis ist deshalb sorgfältig zu prüfen, ob und unter welchen Voraussetzungen externe IT-Dienstleister eingebunden werden dürfen. Seit der Reform des § 203 StGB können mitwirkende Personen unter bestimmten Bedingungen einbezogen werden. Voraussetzung ist jedoch insbesondere, dass sie vertraglich und organisatorisch wirksam zur Verschwiegenheit verpflichtet werden und die erforderlichen Schutzmaßnahmen eingehalten sind.
Zu den zentralen Schutzmaßnahmen gehören unter anderem:
- Ende-zu-Ende-Verschlüsselung für sensible Datenbestände.
- Granulares Berechtigungsmanagement zur Beschränkung von Zugriffsmöglichkeiten.
- Laufende Kontrolle der technischen und organisatorischen Maßnahmen beim Dienstleister.
- Regelmäßige Audits oder vergleichbare Prüfungen der IT-Infrastruktur.
Berufsrechtliche Erforderlichkeit nach § 62a StBerG
Mit § 62a StBerG hat der Gesetzgeber die rechtliche Basis für die Einbindung externer Dienstleister geschaffen, diese aber an klare Voraussetzungen geknüpft. Zulässig ist eine solche Einbindung insbesondere dann, wenn sie für die Berufsausübung erforderlich ist und die Vertraulichkeit vertraglich und organisatorisch abgesichert wird.
Die Erforderlichkeit ist ein unbestimmter Rechtsbegriff und sollte im Zweifel dokumentiert werden. Eine Kanzlei sollte daher nachvollziehbar darlegen können, warum die Auslagerung bestimmter Prozesse sinnvoll und notwendig ist.
Für die prozessuale Sicherheit kommen spezialisierte Softwarelösungen für Steuerberater in Betracht, die auf solche Anforderungen ausgerichtet sind. Ein allgemeiner Cloud-Dienst kann geeignet sein, muss jedoch im Einzelfall sorgfältig geprüft werden. Ergänzend lohnt sich ein Blick in die Berufsordnung der Bundessteuerberaterkammer (BOStB), die die Verschwiegenheitspflichten konkretisiert.
Typische Fehlerquellen in der Praxis
Trotz klarer gesetzlicher Vorgaben zeigen Prüfungen in Kanzleien immer wieder Schwachstellen. Häufige Defizite sind:
- Unzureichende Vertragswerke: Standardbedingungen von Cloud-Anbietern werden übernommen, ohne die berufsrechtlich relevanten Verschwiegenheitsanforderungen ausreichend zu berücksichtigen.
- Fehlende Unterauftragnehmer-Kontrolle: Es wird nicht geprüft, ob eingesetzte Subunternehmer ebenfalls wirksam zur Verschwiegenheit verpflichtet sind.
- Lückenhafte Dokumentation: Die Gründe für das Outsourcing sowie die damit verbundenen Risiken werden nicht ausreichend festgehalten.
- Unklare technische Schutzkonzepte: Zugriffsrechte, Protokollierung und Verschlüsselung sind nicht konsequent umgesetzt.
Best Practice für Kanzleien
Um Haftungsrisiken zu reduzieren, sollten Kanzleien einen strukturierten Compliance-Prozess etablieren. Dazu gehören:
- Verzeichnis der Verarbeitungstätigkeiten: Alle relevanten Datenflüsse zu externen Systemen dokumentieren.
- Risikoanalyse: Die möglichen Folgen eines Datenabflusses für das Mandatsverhältnis bewerten.
- Individuelle Verschwiegenheitsvereinbarungen: Standardverträge um berufsrechtliche Regelungen ergänzen.
- Regelmäßige Schulung der Mitarbeitenden: Für den sicheren Umgang mit Cloud-Anwendungen sensibilisieren.
Auch die laufende Beobachtung von Rechtsprechung und Verwaltungspraxis ist wichtig. Das Bundesministerium der Justiz und andere Fachstellen informieren regelmäßig über digitale Entwicklungen im Rechts- und Berufsrecht.
FAQ: Kurzcheck für die Kanzlei-IT
Reicht eine einfache Vertraulichkeitserklärung des IT-Dienstleisters aus?
In der Regel nicht. Erforderlich ist eine verlässliche vertragliche und organisatorische Absicherung der Verschwiegenheit sowie die Einbindung aller relevanten Beteiligten in das Schutzkonzept.
Ist die Nutzung ausländischer Cloud-Server grundsätzlich verboten?
Nein. Sie ist nicht grundsätzlich verboten, kann aber zusätzliche rechtliche und technische Prüfungen erfordern, insbesondere im Zusammenhang mit Drittlandtransfers nach der DSGVO. Standorte in Deutschland oder der EU sind häufig leichter zu beurteilen, aber nicht in jedem Fall zwingend.
Wer haftet im Schadensfall gegenüber dem Mandanten?
Primär haftet der Berufsträger, da er die Organisationsverantwortung für die Kanzlei trägt. Ein Regress gegen den Dienstleister kommt nur in Betracht, wenn die vertraglichen Grundlagen und die tatsächliche Umsetzung entsprechend belastbar sind.
Müssen Mandanten über das Outsourcing informiert werden?
Je nach Konstellation können datenschutzrechtliche Informationspflichten bestehen, etwa nach Art. 13 oder Art. 14 DSGVO. Ob und in welchem Umfang eine Information erforderlich ist, hängt von der konkreten Datenverarbeitung und der Rolle des Dienstleisters ab.
Wort zum Schluss
Cloud-Outsourcing ist für moderne Kanzleien ein wichtiger Baustein, muss aber rechtlich und technisch sauber umgesetzt werden. § 203 StGB und § 62a StBerG bilden dabei den Rahmen, innerhalb dessen sich effiziente und zugleich vertrauenssichere Lösungen entwickeln lassen. Wer auf klare Prozesse, vertragliche Absicherung und laufende Kontrolle setzt, reduziert Haftungsrisiken erheblich und schafft zugleich die Basis für eine zukunftsfähige Kanzleiorganisation.
