Compliance

DSGVO, AVV und Berufsgeheimnis — was Ihr Mandant wissen will

DSGVO, AVV, § 80 WTBG und § 48a BAO: welche Anforderungen eine Cloud-Lösung für Kanzleien erfüllen muss und wie wir sie konkret umsetzen.

D

Dominik Pototschnig

DSGVO
KI
DSGVO, AVV und Berufsgeheimnis — was Ihr Mandant wissen will

Sie überlegen, unsere Plattform einzusetzen. Bevor Sie Mandantendaten hochladen, möchten Sie wissen: Darf ich das überhaupt? Was muss ich dem Mandanten erklären? Was passiert, wenn die Datenschutzbehörde fragt?

Die ehrliche Antwort hat mehrere Ebenen, weil für Sie als Berufsträger nicht nur die DSGVO gilt, sondern eine zusätzliche Schicht: das Berufsgeheimnis nach § 80 WTBG und die abgabenrechtliche Geheimhaltung nach § 48a BAO. Dieser Text erklärt, welche Anforderungen eine Cloud-/KI-Lösung für Ihre Kanzlei erfüllen muss und was wir konkret tun, um sie zu erfüllen.

Warum DSGVO allein nicht reicht

Die DSGVO kennt das Konstrukt „Auftragsverarbeiter” (Art. 28): Ein externer Dienstleister verarbeitet in Ihrem Auftrag personenbezogene Daten. Für den normalen B2B-SaaS-Fall reicht ein AVV-Vertrag plus technische Maßnahmen.

Als Steuerberater haben Sie aber zwei zusätzliche Pflichten, die über die DSGVO hinausgehen:

  1. § 80 WTBG 2017, Verschwiegenheitspflicht. Die berufsrechtliche Verschwiegenheit hat nach Kommentaren in der Rechtsdatenbank Vorrang vor abgabenrechtlichen Offenlegungs- und Wahrheitspflichten. Sie schützt nicht nur die Betroffenen nach DSGVO-Logik, sondern das Vertrauensverhältnis zum Mandanten als Ganzes.

  2. § 48a BAO, abgabenrechtliche Geheimhaltung. Verhältnisse aus Abgabenverfahren dürfen nicht offenbart oder verwertet werden, außer im gesetzlich vorgesehenen Rahmen.

Was das praktisch bedeutet: Ein AVV nach Art. 28 DSGVO reicht nicht. Ihr Cloud-Dienstleister muss zusätzlich zur berufsrechtlichen Verschwiegenheit verpflichtet werden. Analog zu § 203 StGB in Deutschland ist hier eine zweite vertragliche Ebene mit Strafrechtshinweis üblich und empfehlenswert.

Was 2025 in der Rechtsprechung passiert ist

Die österreichische Datenschutzbehörde (DSB) hat im Oktober 2025 einen vielzitierten Bescheid zu Microsoft 365 Education erlassen, über den noyb öffentlich berichtet hat. Kernaussage, sinngemäß: illegales Tracking ohne Einwilligung und intransparenter Drittlandtransfer in die USA. Die DSB qualifizierte Microsoft und die anwendende Schule als gemeinsam Verantwortliche, weil Microsoft die Daten zu eigenen Geschäftstätigkeiten verarbeitet.

Für eine Kanzlei ist das ein Präzedenzfall: Jeder Cloud-Dienstleister, der Telemetrie-Daten abgreift, zwingt Sie zur Dokumentation dieses Abgriffs, und im Zweifelsfall zur Haftung dafür.

Bereits im August 2024 hat die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens, AP) gegen Uber eine Strafe von 290 Millionen Euro wegen der Übermittlung von Daten europäischer Fahrer in die USA ohne ausreichende Schutzmaßnahmen verhängt. Die zentrale Feststellung: Standardvertragsklauseln (SCCs) reichen allein nicht aus, wenn der Provider US-Rechtstechniken wie dem CLOUD Act oder FISA 702 unterliegt. Ein Präzedenzfall, der jeden EU-Auftragsverarbeiter betrifft. Das Uni-Köln-Gutachten (Dezember 2025 veröffentlicht, erstellt März 2025) bringt es auf den Punkt: Entscheidend ist nicht der Serverstandort, sondern die rechtliche Kontrolle des Providers.

Die DSB-Fallzahlen sind in den letzten Jahren deutlich gestiegen, die publizierten Entscheidungen haben sich zwischen 2024 und Mitte 2025 nach öffentlichen Beobachtungen vervielfacht. Datenschutz ist kein Nischenthema mehr.

Welche Anforderungen ein KI-Dienst für Kanzleien erfüllen muss

Aus dieser Rechtslage ergibt sich eine praktische Checkliste. Acht Punkte, die ein seriöser Anbieter erfüllt:

  1. Server-Standort EU, idealerweise Österreich oder Deutschland.
  2. Kein KI-Training mit Ihren Daten. Zwingend, sonst verliert der Anbieter den Auftragsverarbeiter-Status.
  3. Subprozessoren-Transparenz. Vollständige Liste, Vorab-Information bei Änderungen, Einspruchsrecht für Sie.
  4. Verschlüsselungs-Garantien. At-rest und in-transit; idealerweise Zero-Knowledge oder Bring-Your-Own-Key, damit der Provider selbst keinen Klartext lesen kann: der einzige belastbare Schutz gegen US-CLOUD-Act-Herausgabebefehle.
  5. Klares Löschkonzept. Retention unter 30 Tagen oder Zero-Retention definiert.
  6. Berufsrechtliche Zusatzverpflichtung. Eigene Vereinbarung zur Verschwiegenheit nach § 80 WTBG mit Strafrechtshinweis.
  7. AI-Act-Konformität. Transparenzpflichten nach Art. 50 VO 2024/1689, Hochrisiko-Einstufung dokumentiert.
  8. Datenlokalisierung + Rechtsträgerschaft. Kein US-Mutterkonzern in der Verflechtung, kein Subunternehmer außerhalb der EU ohne SCCs und Transfer Impact Assessment.

Branchenbeobachtungen deuten darauf hin, dass ein erheblicher Teil der AVVs in der Praxis unvollständig ist. Es lohnt sich, genau hinzuschauen.

Was wir konkret tun

  • Server-Standort: EU, vertraglich fixiert.
  • Ihre Daten werden nie zum Training von KI-Modellen verwendet. Steht explizit im AVV.
  • Löschung nach maximal 30 Tagen, Upload-Dateien nach erfolgreicher Konvertierung früher.
  • AVV nach Art. 28 DSGVO + zusätzliche Verschwiegenheits-Verpflichtung nach § 80 WTBG. Beide Verträge sind Bestandteil jedes Kundenverhältnisses, auch schon beim kostenlosen Proof-of-Concept.
  • Subprozessoren-Liste offen einsehbar. Wenn sich etwas ändert, informieren wir vorab.
  • Keine Trackingpixel, kein LinkedIn-Connector, kein ChatGPT-Plugin in Protokolldaten. Falls Sie das prüfen wollen: offen für unabhängiges Audit.

Was Ihr Mandant bei Nachfrage hören soll

Im Zweifelsfall werden Sie Ihren Mandanten informieren. Eine sachliche Formulierung dafür:

„Zur Vorbereitung Ihrer Buchhaltungsdaten setzen wir eine spezialisierte Software ein, die automatisiert Dateien für unser Buchhaltungssystem aufbereitet. Der Anbieter sitzt in Österreich, verarbeitet Daten ausschließlich auf EU-Servern, hat sich zur Verschwiegenheit nach § 80 WTBG verpflichtet und löscht die Daten nach spätestens 30 Tagen. Der Auftragsverarbeitungsvertrag ist abgeschlossen. Alles Weitere dokumentiert in unseren Datenschutzinformationen.”

Keine Beschönigung, keine technische Überforderung. Nur die Fakten, die Ihr Mandant kennen muss.

Was im Demo passiert

Ich zeige Ihnen live, wie der Datenstrom in unserem System aussieht. Welche Dateien wo liegen. Wann was gelöscht wird. Welche Mitarbeiter darauf zugreifen können. Und Sie bekommen, wenn Sie möchten, den AVV und die Verschwiegenheits-Vereinbarung im Vorfeld zum Prüfen. Kein Geheimwissen, keine Fußnoten im Kleingedruckten.

Wenn Sie eine spezifische Frage haben, die Sie vor dem Demo geklärt haben möchten: hallo@kanzlei-import.at. Ich antworte persönlich, meistens am selben Tag.

Quellen (Stand April 2026): § 80 WTBG, § 48a BAO, Art. 28 DSGVO, Standardvertragsklauseln (SCCs), DSB-Bescheid M365 Education via noyb.eu, öffentliche Datenschutzbehörden-Tätigkeitsberichte.

Dominik Pototschnig, Gründer kanzlei-import.at Kontakt: hallo@kanzlei-import.at Weiterführend: 5 Fragen, die Sie bei jedem KI-Anbieter stellen sollten · Was passiert eigentlich in unserem Demo?

Tagged:
DSGVO
KI