MCP-Server für DATEV

Was ist ein MCP-Server für DATEV?

Ein MCP-Server für DATEV ist eine spezialisierte Brücke zwischen einem KI-Agenten (Claude, GPT, Gemini, Microsoft Copilot) und Ihren DATEV-Systemen. Er übersetzt natürlichsprachige Anfragen — „Zeig mir die BWA von Mandant Meyer GmbH für April" — in saubere, autorisierte Abfragen gegen DATEV-Schnittstellen wie DATEVconnect, die DATEV-Unternehmen-online-API oder REWE-Datenstrukturen.

Im Kern liefert MCP für DATEV genau das, was Kanzleien seit Jahren vermissen: einen standardisierten, sicheren Tool-Zugriff, der nicht bei jeder Modell-Änderung neu gebaut werden muss. Wer einmal verstanden hat, was das Model Context Protocol ist und wie es funktioniert, erkennt sofort: DATEV ist eines der lohnendsten Einsatzgebiete, weil hier hochstrukturierte Daten in komplexen Prozessen stecken.

Wichtig: Ein DATEV-MCP-Server ersetzt keine zertifizierte DATEV-Software. Er ergänzt sie um eine KI-Bedienebene — mit klaren Berechtigungsgrenzen, Logging und ohne dass Mandantendaten in fremde Hände gelangen.

MCP-Server vs. klassische DATEVconnect-Anbindung

Viele Kanzleien fragen: „Wir haben doch schon DATEVconnect online — warum brauchen wir zusätzlich einen MCP-Server?" Der Unterschied ist fundamental. DATEVconnect ist eine reine technische Schnittstelle: REST-Endpunkte, OAuth, Daten rein, Daten raus. Damit kann ein Entwickler arbeiten — aber kein KI-Modell. Claude, GPT oder Gemini wissen nicht, welcher Endpunkt wann zu benutzen ist, welche Pflichtparameter eine Buchung erwartet oder welche Berechtigungen ein Sekretariat eines Mandanten hat.

Ein MCP-Server ist die semantische Übersetzungsschicht obendrauf: Er definiert Werkzeuge wie get_bwa(mandant_id, monat), list_offene_posten(mandant_id) oder buchungsvorschlag(beleg_id) — jedes mit Beschreibung, Parameter-Schema und Berechtigungsregel. Die KI nutzt diese Werkzeuge wie ein Mitarbeiter Knöpfe in einer Oberfläche bedient. Das Modell kann nichts „erfinden", sondern nur das tun, was der MCP-Server zulässt.

Praktisch heißt das: Wer DATEVconnect direkt an ein LLM hängt, baut sich ein Black-Box-Risiko. Wer einen MCP-Server davorlegt, baut Audit-Sicherheit, Rollen-Trennung und Wechselbarkeit des KI-Anbieters in einer Schicht.

Die DATEV-MCP-Architektur — wie es technisch funktioniert

Architektonisch sitzt der MCP-Server zwischen Ihrem KI-Modell und DATEV. Vier Schichten, von oben nach unten:

1. KI-Client — Claude Desktop, ein eigenes Kanzlei-Chat-Frontend, Microsoft Copilot oder ein Webhook aus einem n8n-Workflow.
2. MCP-Transport — JSON-RPC über stdio (lokal) oder HTTP+SSE (vernetzt). Verschlüsselt, authentifiziert, rate-limited.
3. MCP-Server in EU-Hosting — Ihr Container auf Hetzner, IONOS oder Azure Germany. Drei Sub-Layer: Auth (welcher Nutzer/Rolle?), Tool-Registry (welche Werkzeuge sind freigegeben?), Audit-Log (was wurde wann von wem aufgerufen?).
4. DATEV-Adapter — kapselt DATEVconnect online, DATEV Unternehmen online API, optional REWE-/LODAS-Exporte. Hier liegen die OAuth-Tokens und Berater-Credentials, niemals im LLM-Kontext.

Die rote Linie unter dem MCP-Server ist die Mandantengeheimnis-Grenze: Mandantenklartext verlässt diesen Punkt nur in autorisierten, geloggten und zweckgebundenen Antworten. Das ist der Unterschied zwischen einer KI-Spielerei und einer berufsrechtlich verteidigbaren Lösung.

Code-Beispiel: Ein DATEV-MCP-Tool für die BWA-Abfrage

So sieht ein konkretes MCP-Tool in Python aus — die Definition eines Werkzeugs, das Claude eigenständig nutzen darf, um eine BWA aus DATEV zu holen:

from mcp.server.fastmcp import FastMCP
import httpx, os

mcp = FastMCP("datev-bridge")

@mcp.tool()
def get_bwa(mandant_id: str, monat: str) -> dict:
    """Holt die Betriebswirtschaftliche Auswertung eines Mandanten
    für einen Monat aus DATEVconnect online.

    Args:
        mandant_id: DATEV-Mandantennummer (5- oder 6-stellig).
        monat: Monat im Format YYYY-MM (z.B. "2026-04").

    Returns:
        Dict mit Konten, Salden und Vergleich Vormonat.
    """
    token = os.environ["DATEV_BERATER_TOKEN"]
    resp = httpx.get(
        f"https://datev.de/api/v1/mandanten/{mandant_id}/bwa",
        params={"monat": monat},
        headers={"Authorization": f"Bearer {token}"},
        timeout=20,
    )
    resp.raise_for_status()
    return resp.json()

if __name__ == "__main__":
    mcp.run()  # startet den MCP-Server auf stdio

Drei Dinge sind hier entscheidend: Die Funktion ist typisiert (Claude weiß, was rein- und rausgeht), sie hat einen Docstring (das Modell liest ihn wie eine Bedienungsanleitung), und der OAuth-Token liegt im Environment, nicht im Prompt. Genau so bauen wir produktive DATEV-MCP-Server — nur mit zusätzlichem Logging, Rate-Limiting und Rollenprüfung pro Aufruf.

Use Cases: Was kann ein DATEV-MCP-Server konkret?

In Kanzleien und Steuerabteilungen kristallisieren sich rund um DATEV immer wieder dieselben fünf bis sechs Anwendungsfälle heraus — die typischen Hebel, die mit MCP umsetzbar sind. Sie sind nicht spektakulär, sparen aber pro Monat dreistellige Stunden:

1. Automatisierte BWA-Erklärungen Ein Mandant fragt: „Warum ist mein Ergebnis im April schlechter als im März?" Der KI-Agent holt die BWA aus DATEV, vergleicht Konten, identifiziert Ausreißer und schreibt eine verständliche Zusammenfassung — inklusive Hinweis auf saisonale Effekte oder Einmalbuchungen.
2. Offene-Posten-Analyse & Mahnwesen-Vorschläge Der MCP-Server liest offene Forderungen, der Agent priorisiert nach Fälligkeit und Mandantenrisiko und schlägt Mahnstufen vor. Endgültiger Versand bleibt beim Menschen — der Agent bereitet nur vor.
3. Belegerkennung & Vorkontierung In Kombination mit DATEV Unternehmen online: Der KI-Agent prüft hochgeladene Belege, schlägt Sachkonto und Kostenstelle vor, erkennt Reverse-Charge-Fälle und kennzeichnet Auffälligkeiten (etwa fehlende UStID).
4. Mandantenkommunikation Wiederkehrende Fragen („Wo finde ich meine letzte Umsatzsteuer-Voranmeldung?", „Wie hoch war mein Vorjahres-Gewinn?") beantwortet der Agent auf Basis der DATEV-Daten — als Entwurf für die Sekretariatsmail oder direkt im Mandantenportal.
5. Lohn- & Gehaltsabfragen LODAS-Daten aufbereiten: Personalkosten je Kostenstelle, Vergleich Vormonat, Hinweise auf Auffälligkeiten in Stunden- oder Zuschlagskonten. Mit strikter Zugriffstrennung — nur explizit freigegebene Konten.
6. Jahresabschluss-Vorbereitung Der Agent läuft Sachkonten durch, sucht nach typischen Fehlerquellen (Eröffnungssalden, periodenfremde Aufwände, fehlende Inventur) und liefert eine Vorprüfliste, bevor der Steuerberater übernimmt.

So funktioniert die Integration

Architektonisch liegt der MCP-Server zwischen Ihrem KI-Modell und DATEV. Er ist kein Cloud-Dienst von uns — er läuft in Ihrer EU-Infrastruktur (Hetzner, Azure Germany, IONOS oder Ihrem Hausserver):

KI-Agent (Claude/GPT/Gemini) ↔ MCP-Server (Ihr EU-Host) ↔ DATEV-Schnittstellen (DATEVconnect online, Unternehmen-online-API, lokale REWE-Daten)

Die typischen Schritte einer Umsetzung:

• Schnittstellen-Audit: Welche DATEV-Module sind im Einsatz? Existiert DATEV Unternehmen online? Wird DATEVconnect bereits genutzt? Ist ein DATEV-Berater-Token vorhanden?
• Berechtigungskonzept: Welche Mandanten, Sachkonten und Auswertungen darf der Agent sehen? Welche darf er ändern? In der Regel: read-only für Standardabfragen, Schreibrechte ausschließlich nach Vier-Augen-Prinzip.
• Tool-Definitionen: Wir bauen MCP-Tools wie get_bwa, list_open_invoices, fetch_account_movements — jedes mit klarem Input-Schema, sodass das Modell sie nicht „kreativ" missbrauchen kann.
• Logging & Audit-Trail: Jede Agenten-Anfrage und -Antwort wird mit Zeitstempel, Mandanten-ID und Mitarbeiter protokolliert. Das brauchen Sie spätestens beim nächsten Datenschutz-Audit.
• Onboarding der Kanzlei: Schulung von 60 bis 90 Minuten für das Team. Welche Fragen funktionieren, welche nicht, wie man Fehlerfälle eskaliert.

DSGVO, Hosting & Sicherheit

DATEV-Daten sind besonders sensibel — Mandantendaten unterliegen dem Steuergeheimnis. Deshalb gilt für jeden MCP-Server, den wir für DATEV bauen:

• EU-Hosting verpflichtend. Kein US-Hyperscaler, kein „Edge Worker" mit unklarer Datenroute. In der Regel Hetzner oder Azure Germany.
• Auftragsverarbeitungsvertrag (AVV) mit dem KI-Anbieter (Anthropic Europe, Microsoft EU-Datenresidenz, OpenAI Enterprise EU).
• Daten verlassen das System nicht ungefragt. Der MCP-Server entscheidet, welche Felder im Prompt landen — Klartext-Mandantennamen lassen sich pseudonymisieren, wenn das Berufsrecht es verlangt.
• Berechtigung folgt der Rolle. Sekretariat sieht andere Tools als Berufsträger. Mandanten-Portale sehen nur den eigenen Mandanten.
• Pen-Test & Code-Review vor dem Go-Live, damit der MCP-Server nicht zur neuen Angriffsfläche wird.

Wer tiefer in Datenschutzfragen einsteigen will, findet eine ausführliche Behandlung in unserem Ratgeber DSGVO-konforme KI im Unternehmen.

Verschwiegenheitspflicht nach § 203 StGB und Berufsrecht

Über die DSGVO hinaus gilt für Steuerberatungs- und Wirtschaftsprüfungskanzleien eine zweite, härtere Schicht: die strafbewehrte Verschwiegenheitspflicht aus § 203 Abs. 1 Nr. 3 StGB. Wer Mandantengeheimnisse offenbart — auch fahrlässig — macht sich strafbar. Die entscheidende Frage lautet daher nicht „Ist KI erlaubt?", sondern „Wer ist der Empfänger der Daten?".

Seit der Reform 2017 (§ 203 Abs. 3 StGB) dürfen Berufsgeheimnisträger externe Dienstleister einbinden, wenn diese als „berufsmäßig tätige Gehilfen" vertraglich zur Verschwiegenheit verpflichtet werden. Praktisch heißt das für KI-Einsatz in der Kanzlei: Der MCP-Server-Betreiber und der KI-Anbieter müssen einen entsprechenden Verschwiegenheits-DPA mit der Kanzlei abschließen. Wir liefern diesen Vertrag als Standardbaustein mit — abgestimmt mit dem berufsrechtlichen Rahmen der Steuerberater- und Wirtschaftsprüferkammern.

Zwei zusätzliche Härtungsschritte, die in der Praxis Sinn ergeben: Erstens Pseudonymisierung vor dem LLM-Prompt — wo möglich werden Mandantennamen durch Tokens ersetzt und erst nach der Antwort wieder rückübersetzt. Zweitens Modell-Auswahl in EU-Datenresidenz — Anthropic Claude in der EU-Region, Microsoft Azure OpenAI mit deutscher Datenresidenz oder lokale Modelle via Ollama für die hochsensitiven Mandate.

Was kostet das?

Eine seriöse Antwort lautet: kommt auf Umfang und Module an. Aber wir können Ihnen die Hebel zeigen, die das Projekt finanziell entspannen:

• Wochen statt Monate. Wir bauen iterativ: erst der wichtigste Use Case (oft BWA-Erklärung), dann der zweite. Erste produktive Nutzung typischerweise nach 3–5 Wochen.
• Klare Bausteine. Audit → MCP-Server-Setup → Tool-Implementierung pro Use Case → Schulung & Betrieb. Jede Phase mit Fixpreis.

Den konkreten Korridor besprechen wir in der kostenlosen Erstberatung — abhängig von Ihrer Mandantenzahl, DATEV-Modulen und Wunsch-Use-Cases.

Anwendungsbeispiel: Wie der erste Monat eines DATEV-MCP-Projekts aussieht

Damit nicht abstrakt bleibt, wovon hier die Rede ist, hier der typische Ablauf der ersten vier Wochen einer Mittelstands-Kanzlei (250 Mandanten, 12 Mitarbeiter, DATEVconnect online im Einsatz):

• Woche 1 — Audit und Schnittstellen-Inventur. Welche DATEV-Module sind lizenziert? Welche Auswertungen werden täglich abgerufen? Wo entstehen wiederkehrende Fragen, die ein Agent beantworten könnte? Ergebnis: priorisierte Use-Case-Liste mit fünf bis sieben Kandidaten.
• Woche 2 — Architektur und Berechtigungen. EU-Hosting wird aufgesetzt, OAuth-Token-Strecken gegen DATEVconnect online getestet, Rollen-Modell festgelegt (Berufsträger / Sekretariat / Mandantenportal).
• Woche 3 — Erstes Tool produktiv. Meistens „BWA-Erklärung" oder „Offene-Posten-Liste". Der Agent läuft im Beta-Modus für drei Mitarbeiter, jede Anfrage wird mitgeloggt.
• Woche 4 — Pilot-Review. Was funktioniert, was nicht, wo ist die KI zu vorsichtig oder zu forsch? Anpassung der Tool-Beschreibungen, Erweiterung um Use Case 2.

Nach diesen vier Wochen ist klar, ob die Kanzlei produktiv mit MCP arbeiten kann oder ob nachgesteuert werden muss. Wir bauen in 1- bis 2-Wochen-Sprints — jeder Sprint endet mit einer 30-Minuten-Demo per Zoom, in der Sie sehen, was der Agent jetzt kann.

Häufige Fragen

Ist ein DATEV-MCP-Server DSGVO-konform?

Ja, sofern korrekt aufgesetzt: EU-Hosting (Hetzner, Azure Germany), AVV mit dem KI-Anbieter, granulare Berechtigungen pro Rolle und vollständiges Logging. Wir bauen MCP-Server ausschließlich nach diesen Vorgaben.

Welche DATEV-Schnittstellen nutzt ein MCP-Server?

In der Regel DATEVconnect online (für Belege, Buchungen, Auswertungen), die DATEV Unternehmen online API sowie — wo nötig — Exporte aus REWE oder LODAS. Die genaue Auswahl hängt vom Use Case und Ihrer Lizenz ab.

Brauche ich eine DATEV-Programmierschnittstellen-Lizenz?

Für viele Anwendungsfälle reicht der DATEV-Berater-Account mit DATEVconnect online. Sollten zusätzliche Lizenzen nötig sein (etwa für tiefer reichende Auswertungen), klären wir das im Audit, bevor das Projekt startet.

Kann der KI-Agent in DATEV buchen?

Technisch ja — wir empfehlen es jedoch nur in eng definierten Fällen (etwa Buchungsvorschläge mit menschlicher Bestätigung). Für die meisten Kanzleien ist der Mehrwert bereits im Lesezugriff: Auswertungen, Erklärungen, Mandantenkommunikation.

Funktioniert das auch ohne Cloud-DATEV?

Ja. Auch in klassischen DATEV-Installationen lässt sich ein MCP-Server an Datenexporte oder lokale Schnittstellen anbinden. Wir analysieren im Audit, welcher Weg in Ihrer Umgebung am sinnvollsten ist.

Welche KI-Modelle lassen sich anbinden?

Alle, die MCP unterstützen — derzeit unter anderem Anthropic Claude, OpenAI GPT, Google Gemini, Microsoft Copilot. Sie können das Modell jederzeit wechseln, der MCP-Server bleibt gleich.

Wie schnell kann ein MCP-Server für DATEV live gehen?

Mit klar definiertem ersten Use Case (z. B. BWA-Erklärung) typischerweise 3–5 Wochen vom Kick-off bis zur produktiven Nutzung — weitere Use Cases dann in 1–2-Wochen-Sprints.

Verstößt KI-Einsatz mit Mandantendaten gegen § 203 StGB?

Nicht, wenn die KI als „berufsmäßig tätige Gehilfin" eingebunden ist und vertraglich zur Verschwiegenheit verpflichtet wird (§ 203 Abs. 3 StGB, Reform 2017). Wir liefern den notwendigen DPA-Vertrag zwischen Kanzlei, MCP-Server-Betreiber und KI-Anbieter mit. Zusätzliche Härtung über Pseudonymisierung und EU-Datenresidenz schützt selbst bei hochsensitiven Mandaten.

Was passiert, wenn die KI einen Buchungsfehler vorschlägt — wer haftet?

Buchungen laufen standardmäßig im Vier-Augen-Prinzip: Der Agent schlägt vor, ein Mitarbeiter gibt frei. Vollautomatisierung nur bei klar regelbasierten Fällen wie wiederkehrenden Mietzahlungen. Das Haftungsrisiko bleibt damit auf dem Niveau der heutigen Sachbearbeitung — die KI ersetzt keine Berufsträger-Verantwortung, sie entlastet Routine.

Was kostet der laufende Betrieb?

Hosting in EU-Rechenzentren typischerweise 25–80 € pro Monat, KI-Token-Kosten je nach Nutzungsintensität 50–250 € monatlich, Wartung mit Update-Garantie ab 290 € pro Monat. Mittelständische Kanzleien liegen meist bei laufenden Kosten zwischen 400 und 800 € pro Monat — bei Einsparungen von typischerweise 60 bis 120 Stunden Sachbearbeitung pro Monat.