Leistungen BAFA-Förderung Ratgeber Preise FAQ call040 843 096 52 Erstberatung buchen
Erstberatung buchen arrow_forward

KI in der Kanzlei und § 203 StGB: das Mandantengeheimnis rechtssicher wahren

Dürfen Steuerberater, Rechtsanwälte und Wirtschaftsprüfer KI einsetzen? Ja, wenn die Einbindung der KI-Anbieter berufsrechtlich sauber gestaltet ist. Dieser Ratgeber zeigt, warum die DSGVO allein nicht genügt und wie sich KI über Hilfspersonen-Verpflichtung in Textform, Einwilligung und einen revisionsfähigen Audit-Trail § 203-konform ausgestalten lässt.

Hinweis: Dieser Ratgeber fasst den Stand der Diskussion zusammen und ist keine Rechtsberatung im Einzelfall. Die abschließende berufsrechtliche Beurteilung gehört zu Ihrem Justiziar oder Ihrer Berufskammer. Genannte Paragraphen dienen der Orientierung.

Warum die DSGVO für Kanzleien nicht reicht

Für die meisten Unternehmen ist die zentrale Frage beim KI-Einsatz: Ist es DSGVO-konform? Für Steuerberater, Rechtsanwälte und Wirtschaftsprüfer liegt darüber eine zweite Ebene. Die DSGVO regelt den Datenschutz als Mindeststandard, mit Aufsichts-, Bußgeld- und Haftungsrisiko. Zusätzlich gilt § 203 StGB: Das Mandantengeheimnis ist strafbewehrt geschützt. Wer Mandantendaten ohne saubere Einbindung an einen IT- oder KI-Dienstleister weitergibt, kann den Straftatbestand erfüllen, sowohl die handelnde Person als auch der Berufsträger.

Das ist der entscheidende Unterschied zu einer reinen Datenschutz-Betrachtung: Eine Maßnahme kann datenschutzrechtlich vertretbar und berufsrechtlich trotzdem angreifbar sein. KI ist dabei nicht das Problem, unkontrollierte KI ist das Problem.

Wer fällt unter § 203 StGB?

Die strafbewehrte Schweigepflicht des § 203 Abs. 1 Nr. 3 StGB trifft insbesondere:

Flankiert wird § 203 StGB durch die berufsrechtliche Verschwiegenheit: § 57 StBerG für Steuerberater, § 43a BRAO für Rechtsanwälte und § 43 WPO für Wirtschaftsprüfer.

Der legale Weg: § 203 Abs. 3 und die Einbindung als mitwirkende Person

Seit der Reform 2017 lässt § 203 Abs. 3 StGB ausdrücklich zu, dass sogenannte sonstige mitwirkende Personen, etwa IT-Dienstleister, Cloud-Anbieter und KI-Anbieter, in die Schweigepflicht einbezogen werden. Die Einbindung ist an mehrere Voraussetzungen geknüpft:

Wichtig zur Einordnung: § 203 Abs. 4 StGB stellt vor allem die fehlende Verpflichtung unter Strafe. Die konkrete Verpflichtung der Dienstleister erfolgt in Textform nach den berufsrechtlichen Normen (§ 62a StBerG / § 43e BRAO / § 50a WPO); § 203 StGB bildet den strafrechtlichen Rahmen.

Information mit Widerspruch oder ausdrückliche Einwilligung?

Mandanten müssen über den KI-Einsatz transparent informiert werden. Wie weit das gehen muss, hängt vom Use Case ab:

Technisch heißt das: Widerspruch und fehlende Einwilligung müssen unterschiedlich behandelt und durchgesetzt werden, nicht nur ein pauschaler Opt-out.

Was die Architektur leisten muss

Damit aus der rechtlichen Vorgabe ein belastbarer Aufbau wird, braucht es drei Bausteine, die zusammenwirken:

Die technische Umsetzung läuft typischerweise über einen DATEV-MCP-Server als kontrollierten Torwächter; wie das in der Steuerkanzlei konkret aussieht, behandeln wir gesondert.

Aufbewahrung von KI-Audit-Logs

Wie lange ein Audit-Trail aufbewahrt wird, richtet sich nach Zweck und Datenklasse, nicht nach einer pauschalen Frist. Für buchungsrelevante Vorgänge geben § 257 HGB und § 147 AO die Orientierung: Buchungsbelege 8 Jahre, Bücher und Jahresabschlüsse 10 Jahre, Handelsbriefe 6 Jahre. Für Logs mit Personenbezug ohne Buchungsbezug greift zusätzlich die Speicherbegrenzung der DSGVO, hier sind kürzere Löschfristen zu prüfen.

Und der EU AI Act?

Neben § 203, DSGVO und Berufsrecht greift der EU AI Act als horizontaler KI-Rechtsrahmen. Für Kanzlei-Workflows lohnt ein kurzer Check: Liegt ein Hochrisiko-Use-Case vor (etwa eine automatisierte Einzelfall-Entscheidung mit Rechtswirkung)? Gibt ein Mensch jedes Ergebnis frei (Human-in-the-Loop)? Sind Use-Cases sowie Modell- und Tool-Verzeichnis erfasst? Der EU AI Act verlangt zudem, dass Anbieter und Betreiber für ausreichende KI-Kompetenz der befassten Personen sorgen (Art. 4).

Typisches Szenario aus dem Kanzlei-Alltag

Anonymisierte, realistische Skizze, kein konkretes Mandat. Ein Sachbearbeiter möchte einen Jahresabschluss schnell auf Plausibilität prüfen lassen und kopiert ihn in ein öffentliches KI-Tool, mit dem kein § 203-konformer Vertrag besteht. Was wie ein Datenschutz-Thema aussieht, ist berufsrechtlich und strafrechtlich relevant. Über eine kontrollierte Architektur dagegen fragt die KI nur abgegrenzte Tools an, Klarnamen bleiben außen vor, und jeder Zugriff ist protokolliert. Der Sachbearbeiter bleibt in der Entscheidung, die KI macht den Vorschlag, der Mensch gibt frei.

Der Kompakt-Leitfaden für Kanzleien

24 Seiten: § 203 StGB, das Drei-Säulen-Modell, Praxisbeispiele und der Weg zur Umsetzung. Kostenfrei als PDF.

Leitfaden kostenlos laden arrow_forward
Kostenfrei Sofort als PDF Für StB, RA & WP

Häufige Fragen

Dürfen Steuerberater, Anwälte und Wirtschaftsprüfer KI nutzen?

Ja, sofern die KI-Anbieter nach § 203 Abs. 3 StGB nur im erforderlichen Umfang eingebunden und nach § 62a StBerG, § 43e BRAO bzw. § 50a WPO in Textform zur Verschwiegenheit verpflichtet werden, je nach Mandatsnähe ergänzt um eine Einwilligung. Die Beurteilung im Einzelfall trifft Ihr Justiziar.

Reicht es, wenn ein KI-Tool DSGVO-konform ist?

Für Berufsgeheimnisträger nicht allein. Die DSGVO ist der Mindeststandard, § 203 StGB kommt strafbewehrt hinzu. Beides muss zusammenpassen.

Brauche ich eine Einwilligung der Mandanten?

Je nach Use Case: Information mit Widerspruchsrecht bei allgemeiner Bearbeitung, ausdrückliche Einwilligung bei Leistungen mit unmittelbarem Mandatsbezug (§ 62a Abs. 5 StBerG, § 43e Abs. 5 BRAO, § 50a Abs. 5 WPO).

Rechtsstand / genannte Normen: § 203 StGB, § 57 StBerG, § 43a BRAO, § 43 WPO (Verschwiegenheit); § 62a StBerG, § 43e BRAO, § 50a WPO inkl. jeweils Abs. 5 (Dienstleistereinbindung und Einwilligung); § 257 HGB, § 147 AO (Aufbewahrung); Art. 28 und Art. 22 DSGVO; EU AI Act (Verordnung (EU) 2024/1689), Art. 4. Ohne Gewähr, keine Rechtsberatung im Einzelfall.