Die Verschwiegenheitspflicht nach § 57 StBerG kollidiert frontal mit dem US-Cloud Act. Was jahrzehntelang funktionierte – Mandantendaten auf deutschen Servern, deutscher Anbieter, deutsches Recht – greift bei KI-Tools nicht mehr. Der Grund: Die meisten KI-Anwendungen laufen über US-Konzerne. Und damit gilt US-Recht. Auch wenn der Server in Frankfurt steht.
Die juristische Gemengelage
§ 203 StGB schützt das Berufsgeheimnis strafrechtlich. § 57 StBerG konkretisiert die Verschwiegenheitspflicht standesrechtlich. Beide gelten absolut – es gibt keinen Ermessensspielraum. Die Bundessteuerberaterkammer stellte 2023 klar: „Die Verschwiegenheitspflicht gilt uneingeschränkt, unabhängig von technischen Entwicklungen oder wirtschaftlichen Erwägungen.“
Der Cloud Act (2018) verpflichtet US-Unternehmen, auf Anforderung amerikanischer Behörden Daten herauszugeben – unabhängig vom Speicherort. § 2713 Title 18 USC formuliert das explizit: „A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication […] regardless of whether such communication, record, or other information is located within or outside of the United States.“
Die Kollision: US-Recht verlangt Herausgabe, deutsches Standesrecht verbietet sie. Für den Steuerberater bleibt das Risiko – strafrechtlich, standesrechtlich, zivilrechtlich.
Was die Kammern konkret sagen
Die Bundessteuerberaterkammer und Landeskammern haben sich mehrfach positioniert:
BStBK (2023): „Bei Cloud-Diensten US-amerikanischer Anbieter besteht das Risiko, dass US-Behörden auf Grundlage des Cloud Act Zugriff auf in der EU gespeicherte Daten nehmen. Dies steht im Widerspruch zur Verschwiegenheitspflicht nach § 57 StBerG.“
Steuerberaterkammer München (2024): „Standard Contractual Clauses bieten keine ausreichende Absicherung. Das Schrems-II-Urteil des EuGH hat klargestellt: SCCs allein genügen nicht, wenn das Recht des Drittstaates Zugriffsmöglichkeiten eröffnet.“
Steuerberaterkammer Köln (2024): „Für Finanzdaten, Bilanzen, Steuererklärungen sind US-Cloud-Dienste nicht empfehlenswert. Die Verschwiegenheitspflicht lässt sich mit dem Cloud Act nicht vereinbaren.“
Die Kammern empfehlen durchgängig: DATEV oder vergleichbare deutsche Anbieter mit ausschließlich EU-Hosting.
GoBD als zusätzliche Compliance-Ebene
Die GoBD-Anforderungen des BMF verschärfen die Lage. Nach Rz. 116-135 GoBD müssen elektronische Aufzeichnungen jederzeit verfügbar und maschinell auswertbar sein. Das gilt auch für ausgelagerte Systeme.
Das Problem mit US-Anbietern: Bei Insolvenz, Sanktionen oder technischen Problemen kann der Zugriff wegfallen. Die GoBD-Anforderung nach § 147 Abs. 6 AO (Datenzugriff für Betriebsprüfung) lässt sich dann nicht erfüllen. Die Finanzverwaltung akzeptiert „Daten sind in US-Cloud nicht mehr verfügbar“ nicht als Begründung.
Das BMF-Schreiben zu den GoBD (28.11.2019) stellt klar: „Der Steuerpflichtige trägt das Risiko der Verfügbarkeit seiner Daten. Die Auslagerung in Cloud-Systeme entbindet nicht von den Aufbewahrungspflichten.“ Bei US-Anbietern unter CLOUD Act ist dieses Risiko systematisch erhöht.
Die Haftungskaskade
Standesrechtlich: § 90 Abs. 1 StBerG ermöglicht Rüge, Verweis, Geldbuße bis 50.000 Euro, Berufsverbot. Die Kammern können bereits bei potentiellem Verstoß gegen § 57 StBerG tätig werden – ein tatsächlicher Datenzugriff muss nicht nachgewiesen werden. Die bloße Möglichkeit reicht.
Strafrechtlich: § 203 Abs. 1 Nr. 3 StGB erfasst Steuerberater explizit. Die Weitergabe ist auch fahrlässig strafbar (§ 203 Abs. 2 StGB). „Ich wusste nicht, dass US-Behörden zugreifen können“ schützt nicht – Fahrlässigkeit liegt bei fehlender Kenntnisnahme der Rechtslage.
Zivilrechtlich: Mandanten können Schadensersatz nach § 280 BGB i.V.m. Steuerberatungsvertrag geltend machen. Geschäftsgeheimnisse, die durch Datenleck offengelegt werden, können zu Schadenersatzforderungen in Millionenhöhe führen. Die Berufshaftpflichtversicherung greift bei grober Fahrlässigkeit (bewusste Nutzung von US-Tools trotz bekannter Risiken) oft nicht.
DSGVO: Art. 83 Abs. 5 lit. a DSGVO ermöglicht Bußgelder bis 20 Millionen Euro bei Verstößen gegen die Grundsätze der Verarbeitung (Art. 5 DSGVO) oder gegen Vorschriften über Drittlandtransfers (Art. 44-49 DSGVO).
Die technische Unmöglichkeit sicherer US-KI-Nutzung
Large Language Models (LLMs) benötigen Klartext-Input. Ende-zu-Ende-Verschlüsselung funktioniert nicht – die KI muss den Text lesen können, um ihn zu verarbeiten. Pseudonymisierung zerstört den Kontext, den LLMs für qualitativ hochwertige Ergebnisse brauchen.
Die EDPB/EDPS-Stellungnahme vom Juli 2019 zum Cloud Act stellt fest: Bei LLMs sind „zusätzliche technische Maßnahmen“ im Sinne des Schrems-II-Urteils praktisch nicht umsetzbar. Das unterscheidet KI-Anwendungen von klassischen Cloud-Speichern, wo Verschlüsselung theoretisch Schutz bieten kann.
Die einzige rechtssichere Lösung: EU-Anbieter, die keinem Drittstaatenzugriff unterliegen.
Europäische Alternativen: Der Markt differenziert sich
DATEV-Ökosystem:
DATEV entwickelt eigene KI-Module (DATEV KI-gestützte Belegerfassung, DATEV Plausibilitätsprüfung). Server ausnahmslos in Deutschland, Entwicklung nach deutschen Compliance-Standards. Für die meisten Steuerkanzleien die pragmatischste Lösung – nahtlose Integration in bestehende Workflows.
Spezialisierte Document AI:
- ABBYY (Europa): OCR mit Verständnis für deutsche Steuerbelege, USt-ID-Validierung, GoBD-konforme Archivierung
- Mindee (Frankreich): API-basierte Belegverarbeitung, trainiert auf europäische Rechnungsformate
LLMs für komplexe Mandate:
- Aleph Alpha (Deutschland): Zero Data Retention, On-Premise-Deployment möglich für Großkanzleien
- Mistral AI (Frankreich): Open-Source-Modelle, selbst hostbar, volle Datenkontrolle
Entscheidungskriterium: Nicht „Was kann die KI?“, sondern „Wo unterliegt der Anbieter welchem Recht?“ Funktional sind US- und EU-Tools inzwischen vergleichbar. Rechtlich sind sie es nicht.
Die Praxis-Falle: Schatten-KI in der Kanzlei
Das unterschätzte Risiko: Einzelne Mitarbeiter nutzen ChatGPT oder ähnliche Tools privat – auch für Kanzlei-Aufgaben. Ein Steuerfachangestellter gibt Mandanten-Bilanzen in ChatGPT ein, um schneller Plausibilitätsprüfungen zu machen. Der Steuerberater haftet nach § 57 Abs. 3 StBerG auch für seine Mitarbeiter.
Notwendige Maßnahmen:
- Kanzlei-weite KI-Policy mit klaren Verboten
- Technische Maßnahmen (Firewall-Regeln, die OpenAI-APIs blocken)
- Regelmäßige Schulungen
- Compliance-Monitoring (Welche Cloud-Dienste werden genutzt?)
Internationale Mandate: Datentrennungsgebot
Bei Mandanten mit US-Tochtergesellschaften gilt: Strikte Datentrennung. Die US-Tochter kann von US-Beratern mit US-Tools betreut werden. Die deutsche Muttergesellschaft muss mit EU-Tools bearbeitet werden.
Nicht zulässig: Konsolidierte Konzernabschlüsse durch Tools erstellen, die alle Daten zusammenführen und über US-Server laufen. Dann landen auch die deutschen Finanzdaten in US-Jurisdiktion.
Zulässig: Separate Systeme. Die Konsolidierung erfolgt manuell oder durch EU-Tool, das ausschließlich bereits aggregierte Daten (ohne Einzelposten) verarbeitet.
Was jetzt zu tun ist
Technisch:
- Bestandsaufnahme aller genutzten Cloud-Dienste und KI-Tools
- Prüfung: Wo sitzt der Anbieter, wo stehen Server, welchem Recht unterliegt er?
- Migration von US- auf EU-Tools (Zeitrahmen: 3-6 Monate)
Organisatorisch:
- Kanzlei-Policy: Was darf wo verarbeitet werden?
- Schulung aller Mitarbeiter (auch Auszubildende, Praktikanten)
- Monitoring-Prozesse etablieren
Rechtlich:
- Mandantenvereinbarungen prüfen: Ist KI-Nutzung transparent gemacht?
- AVVs mit Anbietern prüfen: Art. 28 DSGVO-konform?
- Berufshaftpflicht: Deckt sie KI-Risiken ab? (Oft nicht – Nachverhandlung nötig)
Kommunikation:
- Proaktiv Mandanten informieren: „Wir arbeiten ausschließlich mit deutschen/europäischen Tools“
- Als Marketing-Argument nutzen: Datensouveränität ist Wettbewerbsvorteil
Ausblick: Der regulatorische Druck steigt
Der EU AI Act (2024) verschärft ab August 2026 die Anforderungen für KI in Hochrisiko-Bereichen. Automatisierte Finanzentscheidungen (z.B. KI-gestütztes Scoring für Kreditwürdigkeit) fallen darunter. Die Dokumentationspflichten werden massiv zunehmen.
Europäische KI-Anbieter entwickeln bereits AI Act-konforme Lösungen. US-Anbieter müssen nachziehen – ein Prozess, der Jahre dauern wird. Steuerberater, die heute schon auf EU-Tools setzen, haben 2026 einen Compliance-Vorsprung.
Die Frage ist nicht mehr, ob man wechselt. Die Frage ist, wann – und wie teuer das Zuwarten wird.