Kann ich als Steuerberater wirklich strafrechtlich belangt werden, wenn meine Kanzlei gehackt wird?

Ja, unter bestimmten Voraussetzungen. §203 StGB greift nicht nur bei aktiver Mitteilung, sondern nach herrschender juristischer Auffassung auch dann, wenn unzureichende technisch-organisatorische Maßnahmen den Zugang Dritter ermöglichen („Offenbaren durch Unterlassen"). Entscheidend für die strafrechtliche Bewertung ist, ob der Berufsträger die Maßnahmen ergriffen hat, die nach Stand der Technik erwartet werden können. Wer den Stand der Technik dokumentiert nachweisbar einhält, hat eine substanziell andere Verteidigungsposition als wer das nicht kann.

Reicht eine DSGVO-Auftragsverarbeitungsvereinbarung mit unseren IT-Dienstleistern aus?

Nein. Eine AVV nach Art. 28 DSGVO regelt den Datenschutz — also den Schutz personenbezogener Daten. §203 StGB schützt zusätzlich Berufsgeheimnisse, und das ist eine eigene Rechtsgrundlage. Steuerberater müssen für jeden Dienstleister, der Zugang zu Mandantendaten haben kann (IT-Betreuer, Cloud-Anbieter, Software-Hersteller, KI-Tool-Anbieter), zwei Vereinbarungen abschließen: die AVV plus eine schriftliche Geheimhaltungsverpflichtung mit ausdrücklicher Belehrung über §203 StGB.

Was ist der Unterschied zwischen §203 StGB und der DSGVO?

Beide schützen Daten, aber unterschiedliche Daten und mit unterschiedlichen Rechtsfolgen. Die DSGVO schützt personenbezogene Daten; Verstöße werden mit Bußgeldern geahndet. §203 StGB schützt Berufsgeheimnisse; Verstöße sind Straftaten und treffen den Berufsträger persönlich. Bei einem Cyberangriff können beide Regime gleichzeitig greifen — und ihre Anforderungen können sich gegenseitig im Wege stehen.

Was passiert konkret, wenn ich einen Cyberangriff binnen 72 Stunden an die Datenschutzaufsicht melde?

Die Meldung kann grundsätzlich mit allgemeinen Angaben erfolgen, ohne mandatsidentifizierende Inhalte. Die Datenschutzaufsicht erwartet Information darüber, dass eine Verletzung stattgefunden hat, welche Datenkategorien betroffen sind und welche Maßnahmen ergriffen wurden — nicht zwingend, welche konkreten Mandanten betroffen sind. Trotzdem ist im Einzelfall juristische Beratung erforderlich, um den Konflikt mit §203 StGB sauber aufzulösen. Die Vorbereitung vor einem Vorfall — also der Aufbau eines belastbaren Notfallplans mit Anwalt-Kontakt — ist entscheidend.

Was bedeutet „Stand der Technik" für Steuerkanzleien 2026 konkret?

Es gibt keine geschlossene Liste, aber der Stand der Technik 2026 umfasst nach allgemein akzeptierter Auffassung mindestens: aktuelle Patches auf allen Systemen (Server, Arbeitsplätze, mobile Geräte), Mehrfaktor-Authentifizierung für alle externen Zugänge, Netzwerksegmentierung (Drucker, Smartphones, IoT-Geräte getrennt vom Arbeitsplatz-Netzwerk), getrennte Backups (3-2-1-Regel), kontinuierliche Sicht auf den Netzwerkverkehr, Mitarbeiter-Sensibilisierung für Phishing, dokumentierte Notfallpläne. Was vor zehn Jahren als Stand der Technik galt, ist heute Mindestbasis.

Wie verteidige ich mich strafrechtlich, wenn ich nach einem Cyberangriff angezeigt werde?

Erstens, sofort einen Fachanwalt für IT-Recht oder Strafrecht hinzuziehen. Zweitens, keine eigenen „aufklärenden" Telefonate mit Polizei oder Geschädigten führen, die später gegen Sie verwendet werden können. Drittens, vorhandene Dokumentation sammeln — alle technischen Maßnahmen, Schulungen, Verträge mit IT-Dienstleistern, Sicherheits-Audits. Viertens, prüfen lassen, welche Akteneinsichtsrechte bestehen und welche Beweismittel die Staatsanwaltschaft hat. Eine vorschnelle Aussage oder Kooperation kann die Verfahrenslage erheblich verschlechtern. Dieser Artikel ist ausdrücklich keine Rechtsberatung; im Ernstfall ist anwaltlicher Rat unverzichtbar.

Ressourcen → Leitfäden → §203 StGB für Steuerberater

§203 StGB für Steuerberater —
Was die Verschwiegenheitspflicht im digitalen Kontext wirklich bedeutet

Es ist Montagabend, 23:47 Uhr. Der IT-Administrator ruft an: „Wir haben ein massives Problem. Ransomware. Alle Mandantendaten verschlüsselt. Die Täter fordern 50.000 Euro." In den nächsten 72 Stunden müssen Sie als Steuerberater Entscheidungen treffen, die sich strafrechtlich, berufsrechtlich und zivilrechtlich auswirken — gleichzeitig. Dieser Leitfaden ordnet ein, was §203 StGB im digitalen Kontext für Steuerberater wirklich bedeutet, warum Mandantenverschwiegenheit auch dann verletzt sein kann, wenn niemand „redet", und welche fünf Pflichten sich daraus für die technische Aufstellung Ihrer Kanzlei ergeben.

Leitfaden · Von Gerald Hahn · Lesezeit ca. 14 Minuten · Aktualisiert im Februar 2026

Über diesen Leitfaden

Dieser Artikel basiert auf dem Wortlaut des §203 StGB, dem Steuerberatungsgesetz (StBerG), aktueller BGH-Rechtsprechung und juristischer Standardliteratur (siehe Quellen am Ende des Artikels). Verfasst von Gerald Hahn, Mitgründer und Geschäftsführer der AEGYS DATALYTICS AG, mit fachlicher Begleitung durch Dr. oec. publ. Christian Baretti, Steuerberater und Fachberater für das Gesundheitswesen (DStV e.V.), seit 2012 Partner bei Falch & Partner München.

Wichtiger Hinweis: Dieser Leitfaden ersetzt keine Rechtsberatung. Bei konkreten rechtlichen Fragen — insbesondere im Schadensfall — ziehen Sie bitte einen Fachanwalt für IT-Recht oder Strafrecht hinzu.

Was §203 StGB für Steuerberater wirklich schützt

§203 des Strafgesetzbuchs (StGB) regelt die Verletzung von Privatgeheimnissen. Steuerberater fallen ausdrücklich in den Kreis der Berufsgeheimnisträger nach §203 Abs. 1 Nr. 3 StGB — zusammen mit Ärzten, Apothekern, Rechtsanwälten und Wirtschaftsprüfern.

Geschützt wird das, was im Gesetz „fremdes Geheimnis" heißt: jede Information, die einem Steuerberater im Rahmen seines Mandats anvertraut wird oder sonst bekannt geworden ist. Das schließt nicht nur die offensichtlichen Daten ein — Steuererklärungen, Bilanzen, Lohn- und Gehaltsdaten — sondern auch die schlichte Tatsache, dass ein Mandatsverhältnis überhaupt besteht (§57 Abs. 1 StBerG).

Das Strafmaß ist nicht symbolisch: bis zu einem Jahr Freiheitsstrafe oder Geldstrafe (§203 Abs. 1 StGB). Bei gewerbsmäßiger oder besonders schwerer Begehung kann es bis zu zwei Jahren reichen.

Was §203 StGB von der DSGVO unterscheidet — und was für Steuerberater entscheidend ist: Eine Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO deckt den Datenschutz ab. Sie deckt nicht automatisch §203 StGB ab. Die DSGVO schützt personenbezogene Daten. §203 StGB schützt Berufsgeheimnisse. Das sind zwei verschiedene Schutzgüter, mit zwei verschiedenen Rechtsfolgen.

Warum „Offenbaren" auch ohne Worte passieren kann

Die landläufige Vorstellung von §203 StGB ist eine eines „plaudernden" Steuerberaters — jemand, der absichtlich oder unbedacht Mandantendaten preisgibt. Das ist ein Teilbereich, aber nicht der praktisch relevanteste. Im digitalen Kontext liegt das größere Risiko woanders.

Nach herrschender juristischer Auffassung wird ein Geheimnis im Sinne des §203 StGB nicht nur durch aktive Mitteilung offenbart, sondern auch durch Unterlassung — wenn der Berufsgeheimnisträger durch unzureichende technische oder organisatorische Maßnahmen den Zugang Dritter zu geschützten Informationen ermöglicht (so ausdrücklich esb Rechtsanwälte; vergleichbar in juristischer Standardliteratur).

Konkret heißt das: Wenn ein Cyberangriff auf eine Steuerkanzlei gelingt, weil grundlegende Sicherheitsmaßnahmen fehlten — kein aktuelles Patch-Niveau, keine Mehrfaktor-Authentifizierung, keine Netzwerksegmentierung, keine Sicht auf den internen Netzwerkverkehr — kann der Tatbestand des „Offenbarens" durch Unterlassen erfüllt sein, auch ohne dass jemand bewusst etwas gesagt oder versendet hat.

Das ist kein theoretisches Konstrukt. Die Rechtsprechung — auch in München, wo viele §203-Verfahren bei IT-Vorfällen anknüpfen — zieht zunehmend technisch-organisatorische Mängel als Grundlage für strafrechtliche Verantwortung heran.

Die Sicht aus der Berufspraxis

Was §203 StGB im digitalen Kontext für die tägliche Kanzleipraxis bedeutet, fasst Dr. oec. publ. Christian Baretti zusammen, Steuerberater und Fachberater für das Gesundheitswesen (DStV e.V.), seit 2012 Partner bei Falch & Partner in München:

„Wer als Steuerberater Mandantendaten verarbeitet, übernimmt eine Verantwortung, die deutlich über die der DSGVO hinausgeht. §203 StGB trifft den Berufsträger persönlich — und das gilt auch dann, wenn ein Cyberangriff erfolgt, weil grundlegende technische Maßnahmen fehlten. In meiner Praxis sehe ich, wie schnell Kanzleien diese Dimension unterschätzen, weil DATEV ein hohes Sicherheitsniveau suggeriert. DATEV ist gut — aber DATEV ist nicht alles."

— Dr. oec. publ. Christian Baretti

Steuerberater · Fachberater für das Gesundheitswesen (DStV e.V.)

Partner bei Falch & Partner, München

Aus diesem Befund ergeben sich konkrete Konsequenzen — für die technische Aufstellung der Kanzlei, für den Umgang mit IT-Dienstleistern und Cloud-Anbietern, und für die persönliche Risikoeinschätzung des Berufsträgers.

Drei Haftungsebenen, die parallel laufen

Bei einem digitalen Vorfall greift §203 StGB nicht isoliert. Drei Rechtsregime laufen parallel — und sie können unabhängig voneinander Konsequenzen auslösen.

Strafrechtlich — §203 StGB

Das, was wir bisher behandelt haben: bis zu einem Jahr Freiheitsstrafe oder Geldstrafe. Strafrechtliche Verantwortung trifft den Berufsträger persönlich. Eine Strafanzeige kann von betroffenen Mandanten gestellt werden, in bestimmten Fällen wird sie auch von Datenschutzbehörden initiiert.

Berufsrechtlich — §§ 81, 89, 90 StBerG

Die Steuerberaterkammer kann unabhängig vom Strafverfahren berufsrechtliche Maßnahmen einleiten — von einer Rüge über Geldbuße bis hin zur Ausschließung aus dem Beruf. Berufsrechtliche Verfahren laufen oft schneller als Strafverfahren, mit eigenen Beweismaßstäben.

Zivilrechtlich — §§ 280, 823 Abs. 2 BGB

Mandanten können Schadensersatz fordern — sowohl aus dem Mandatsvertrag als auch aus unerlaubter Handlung in Verbindung mit §203 StGB als Schutzgesetz. In dokumentierten Fällen lagen die Schadensersatzforderungen nach Cybervorfällen bei Steuerkanzleien zwischen 50.000 und 100.000 Euro pro betroffenem Mandant.

Diese drei Ebenen sind nicht „entweder oder". Bei einem ernsthaften Vorfall — Datenleck, Ransomware, Insider-Vergehen — können alle drei gleichzeitig laufen, mit getrennten Verfahren, getrennten Anwälten und getrennten finanziellen Folgen.

Das Dilemma nach einem Cyberangriff: DSGVO gegen §203 StGB

Das ist die juristisch wohl schwierigste Konstellation, die deutsche Steuerberater in den letzten Jahren bekommen haben — und sie wird in den seltensten Fällen rechtzeitig durchdacht.

Nach einem Cyberangriff entstehen zwei gleichzeitige Pflichten, die sich diametral gegenüberstehen:

Pflicht 1: DSGVO-Meldung binnen 72 Stunden

Art. 33 DSGVO verpflichtet den Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten „unverzüglich und möglichst binnen 72 Stunden" der zuständigen Aufsichtsbehörde zu melden. Wer schweigt, riskiert Bußgelder von bis zu 20 Mio. EUR oder 4 Prozent des Jahresumsatzes.

Pflicht 2: §203 StGB

Die Offenbarung von Mandantendaten — auch gegenüber Behörden — ist grundsätzlich strafbar, sofern keine gesetzliche Offenbarungsbefugnis vorliegt. Wer offenlegt, riskiert Strafverfahren wegen Verletzung des Berufsgeheimnisses.

Die Auflösung dieses Dilemmas erfordert juristische Sorgfalt: Die Meldung an die Datenschutzaufsicht kann mit allgemeinen Angaben erfolgen, ohne mandatsidentifizierende Inhalte preiszugeben. Zugleich ist zu prüfen, welche Offenbarungsbefugnisse im konkreten Fall greifen — etwa wenn Strafverfolgungsbehörden ermitteln und der Steuerberater mandatsbezogene Akten herausgeben muss.

Genau deshalb ist die Vorbereitung vor einem Vorfall so entscheidend: Wer im Ernstfall einen Anwalt sucht, der mit beiden Rechtsregimen vertraut ist, verliert wertvolle Stunden. Wer den Anwalt vorher kennt, hat einen klaren Vorteil.

Fünf Pflichten, die sich aus §203 StGB für die Kanzlei-IT konkret ergeben

Aus dem Wortlaut des §203 StGB, der Reform 2017 (§62a StBerG) und der bisherigen Rechtsprechung ergeben sich fünf praktische Pflichten, die jede Kanzlei in ihre IT-Aufstellung übersetzen sollte.

1. Mitwirkende Personen schriftlich zur Verschwiegenheit verpflichten

§203 Abs. 4 Nr. 1 StGB stellt klar: Wer Dritte als „mitwirkende Personen" einbindet, ohne sie schriftlich zur Verschwiegenheit zu verpflichten und über die strafrechtlichen Folgen zu belehren, macht sich selbst strafbar.

Das gilt für IT-Dienstleister, Cloud-Anbieter, Software-Hersteller mit Zugriff auf Mandantendaten — und auch für KI-Tools. Eine DSGVO-Auftragsverarbeitungsvereinbarung allein reicht NICHT. Erforderlich ist eine separate Geheimhaltungsverpflichtung mit ausdrücklicher Belehrung über §203 StGB.

2. Sorgfaltspflicht bei der Auswahl von Dienstleistern

Berufsgeheimnisträger müssen mitwirkende Personen „im Hinblick auf ihre Vertrauenswürdigkeit sorgfältig auswählen" (§43e BRAO analog für Steuerberater). Praktisch heißt das: Sicherheitszertifizierungen prüfen (ISO 27001, BSI-Grundschutz), Standort der Datenverarbeitung verifizieren, Sub-Auftragnehmer-Ketten nachvollziehen.

3. Stand-der-Technik-Maßnahmen technisch umsetzen

Was „ausreichende technische Maßnahmen" bedeutet, wird zunehmend am Stand der Technik gemessen — also an dem, was nach BSI-Empfehlungen und IT-Grundschutz erwartet werden kann. Eine Kanzlei mit Antivirus und Firewall, aber ohne Mehrfaktor-Authentifizierung, ohne Netzwerksegmentierung und ohne kontinuierliche Sicht auf den Netzwerkverkehr, erfüllt den Stand der Technik 2026 nicht mehr.

4. Dokumentation, Dokumentation, Dokumentation

Im Schadensfall ist der entscheidende Unterschied zwischen „strafrechtlich angreifbar" und „strafrechtlich verteidigbar" oft nicht das technische Niveau selbst, sondern die Dokumentation. Wer schriftlich nachweisen kann, welche Maßnahmen getroffen wurden, welche Risikoabwägungen stattfanden und welche Schulungen erfolgten, hat eine substanziell andere Verteidigungsposition.

5. Erkennen, was passiert — nicht nur, was passiert ist

§203 StGB durch Unterlassen setzt voraus, dass die Kanzlei nicht weiß, was im eigenen Netzwerk passiert. Eine kontinuierliche Sicht auf den Netzwerkverkehr — sei es durch ein klassisches SIEM oder durch eine schlankere Lösung — verschiebt die rechtliche Position vom passiven Geschädigten zum aktiven Verantwortlichen. Im strafrechtlichen Bewertungsmaßstab macht das einen Unterschied.

Wo §203 StGB auf Cybersicherheit und Versicherung trifft

Die §203-StGB-Pflichten sind ohne eine technisch sinnvolle Aufstellung nicht erfüllbar. Was DATEV strukturell absichert und wo dessen Reichweite endet, behandelt ein separater Leitfaden zur DATEV-Sicherheit im Detail.

Cyberversicherer prüfen 2026 zunehmend, ob die §203-Anforderungen auch dokumentiert eingehalten werden — sowohl beim Vertragsabschluss als auch im Schadensfall. Was Versicherer konkret verlangen, und warum das im Schadensfall den Unterschied zwischen Auszahlung und Ablehnung bedeuten kann, behandelt ein separater Artikel zu Cyberversicherung für Kanzleien.

Wie eine ergänzende Sicherheitsschicht für Steuerkanzleien konkret aussieht, ist Teil unserer Lösungsseite für Steuerkanzleien mit Pricing-Beispielen und Praxisablauf.

Zusammenfassung in fünf Sätzen

§203 StGB schützt Mandantengeheimnisse — auch die Tatsache, dass ein Mandatsverhältnis besteht — und trifft den Berufsträger persönlich.
„Offenbaren" im Sinne des §203 StGB kann auch durch Unterlassung erfolgen, wenn unzureichende technische Maßnahmen den Zugang Dritter ermöglichen.
Eine DSGVO-Auftragsverarbeitungsvereinbarung deckt §203 StGB nicht ab — Steuerberater brauchen für jeden Dienstleister mit Zugang zu Mandantendaten zusätzlich eine schriftliche Geheimhaltungsverpflichtung mit Strafrechts-Belehrung.
Bei einem Cyberangriff laufen drei Haftungsebenen parallel — strafrechtlich (§203 StGB), berufsrechtlich (StBerG), zivilrechtlich (§§ 280, 823 BGB) — mit getrennten Folgen.
Wer den Stand der Technik 2026 nicht erfüllt — Patches, MFA, Segmentierung, kontinuierliche Sicht auf den Netzwerkverkehr — übernimmt ein juristisches Risiko, das durch keine Versicherung vollständig abgedeckt wird.

Häufige Fragen

Quellen und weiterführende Informationen

§203 StGB (Verletzung von Privatgeheimnissen) — Wortlaut auf gesetze-im-internet.de. gesetze-im-internet.de/stgb/__203.html
§62a Steuerberatungsgesetz (StBerG) — Mitwirkende Personen. gesetze-im-internet.de/stberg/__62a.html
esb Rechtsanwälte: „§ 203 StGB und die Strafhaftung von Berufsgeheimnisträgern in der IT" (Fachbeitrag). kanzlei.de
Bitkom e.V.: „IT-Einsatz durch Berufsgeheimnisträger — Muster zur Umsetzung der Neuregelung des §203 StGB" (Leitfaden). bitkom.org
KriPoZ — Kriminalpolitische Zeitschrift: „Daten-Outsourcing und IT-Compliance bei Berufsgeheimnisträgern — Die Neuregelungen im Umfeld des §203 StGB". kripoz.de
BSI — Bundesamt für Sicherheit in der Informationstechnik: „Die Lage der IT-Sicherheit in Deutschland 2025". bsi.bund.de/Lagebericht2025
BGH-Urteil VIII ZR 84/95 (Februar 1996) — Veräußerung einer Steuerberater-Praxis ohne Mandantenzustimmung verstößt gegen §203 StGB.

Über den Autor

Gerald Hahn

Mitgründer & Geschäftsführer · AEGYS DATALYTICS AG

Gerald Hahn ist Mitgründer und Geschäftsführer der AEGYS DATALYTICS AG. Über zwei Jahrzehnte Erfahrung in der Cybersecurity-Branche — vom internationalen Konzern bis zum spezialisierten Mittelständler. Bevor er AEGYS DATALYTICS gemeinsam mit Achim Kraus gründete, war er Country Manager DACH und Central & Eastern Europe bei Gatewatcher. Sein Anspruch: Sicherheitsfragen in nachvollziehbare Entscheidungen übersetzen — und ehrlich sagen, wann ein Einsatz Sinn ergibt und wann nicht.

LinkedIn-Profil ansehen hallo@aegysdata.com

Erstgespräch

§203 StGB ernst nehmen — bevor es ernst wird

Ein 15-minütiges Erstgespräch genügt, um zu klären, ob die aktuelle technische Aufstellung Ihrer Kanzlei den Anforderungen entspricht — und wo eine ergänzende Sicht aufs Netzwerk sinnvoll wäre. Kein Sales-Pitch, keine Folien. Wenn AEGYS nicht passt, sagen wir das ehrlich.

oder: Sicherheits-Checkliste für Kanzleien herunterladen →