KI-TelefonbotVon Kamil Gawlik

DSGVO-konformer KI-Telefonbot mit Servern in Deutschland für die Steuerkanzlei

DSGVO KI-Telefonbot Steuerkanzlei mit Server in Deutschland: warum DSGVO allein nicht reicht und welche drei Bausteine das Mandantengeheimnis absichern.

Steuerberater im Kanzleibüro prüfen datenschutzkonformen KI-Telefonbot mit Servern in Deutschland am Empfang

Ein DSGVO-konformer KI-Telefonbot mit Servern in Deutschland ist für Steuerkanzleien kein Komfortmerkmal, sondern eine berufsrechtliche Notwendigkeit. Wer Mandantengespräche von einer KI annehmen lassen will, verarbeitet hochsensible Daten, die der Verschwiegenheit nach Paragraf 203 StGB unterliegen. Dieser Beitrag erklärt, warum allein die DSGVO-Konformität nicht ausreicht und welche drei Bausteine eine Steuerkanzlei beim Einsatz eines KI-Telefonbots tatsächlich absichern muss.

Die Ausgangslage ist klar: Ein Telefonassistent, der Anrufer nach Steuernummer, Anliegen oder Unterlagen fragt, berührt das Mandantengeheimnis im Kern. Liegen die Server im Ausland oder fehlt die richtige Vertragsgrundlage, trägt am Ende die Kanzlei das rechtliche Risiko, nicht der Anbieter.

Warum DSGVO-Konformität allein für eine Steuerkanzlei nicht genügt

Ein DSGVO-konformer KI-Telefonbot mit Servern in Deutschland erfüllt nur den datenschutzrechtlichen Teil der Pflichten einer Steuerkanzlei, nicht den berufsrechtlichen. Die DSGVO schützt personenbezogene Daten allgemein, das Mandantengeheimnis steht jedoch zusätzlich unter strafrechtlichem Schutz. Beide Ebenen müssen getrennt erfüllt werden.

Genau diesen Unterschied stellt die Berufsorganisation der Steuerberater heraus. Laut Bundessteuerberaterkammer (2024) schützt ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwar personenbezogene Daten, deckt aber die berufsrechtliche Verschwiegenheit nach Paragraf 203 StGB und Paragraf 62a StBerG ausdrücklich nicht ab. Externe Dienstleister müssen daher zusätzlich gesondert zur Geheimhaltung verpflichtet werden.

Der Mandant gilt als Berufsgeheimnisträger-Daten, nicht als Marketingadresse

Daten aus der Steuerberatung sind keine gewöhnlichen Kundendaten. Steuerberater sind Berufsgeheimnisträger, ihre Mandantendaten unterliegen einem Geheimnisschutz, der über das übliche Datenschutzniveau hinausgeht. Ein Telefonbot, der nur DSGVO-Häkchen abarbeitet, ohne diese Sonderstellung zu berücksichtigen, schließt eine entscheidende Lücke nicht.

Was Paragraf 203 StGB konkret von einem KI-Telefondienst verlangt

Paragraf 203 StGB verlangt, dass externe Dienstleister wie ein KI-Telefonbot-Anbieter vor der Verarbeitung von Mandantendaten in Textform zur Verschwiegenheit verpflichtet und über die strafrechtlichen Folgen einer Verletzung belehrt werden. Der Dienstleister darf nur so weit Kenntnis nehmen, wie es für die Vertragserfüllung erforderlich ist. Unterlässt der Steuerberater diese Verpflichtung vorsätzlich, macht er sich selbst strafbar.

Diese Pflicht ist seit der Gesetzesreform vom 9. November 2017 ausdrücklich geregelt. Laut Steuerberaterkammer München (2017) dürfen Steuerberater externe Dienstleister, auch IT- und Cloud-Anbieter, als mitwirkende Personen einbinden, müssen sie aber in Textform unter Belehrung über die strafrechtlichen Folgen verpflichten. Unterlässt der Steuerberater dies vorsätzlich und der Dienstleister offenbart ein Geheimnis, drohen dem Berater eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe.

Need-to-know ist mehr als eine Floskel

Der Grundsatz, dass der Dienstleister nur das Nötigste erfahren darf, hat für einen Telefonbot praktische Folgen. Die Kanzlei sollte festlegen, welche Datenfelder der Assistent überhaupt abfragt und speichert, und wie eng der technische Zugriff begrenzt ist. Ein Beispiel: Erfasst der Bot nur Name, Rückrufnummer und ein grobes Anliegen, statt komplette steuerliche Sachverhalte abzufragen, bleibt die Verarbeitung schlank und erforderlich.

Kennzahlen-Kacheln eines deutschen Rechenzentrums: 4 Standorte, rund 4.500 Quadratmeter Fläche und ISO/IEC 27001 Zertifizierung
Abbildung 3: Deutsches Hosting als Branchenstandard für vertrauliche Mandantendaten

Warum Server und Hosting in Deutschland den Unterschied machen

Ein Serverstandort in Deutschland hält Mandantendaten innerhalb des deutschen und europäischen Rechtsraums und verhindert einen unkontrollierten Datentransfer an Stellen außerhalb der EU. Liegt die Verarbeitung bei einem Anbieter mit US-Mutterkonzern, können Daten dem Zugriff ausländischer Behörden ausgesetzt sein, was mit dem Mandantengeheimnis schwer vereinbar ist. Deutsches Hosting reduziert dieses Risiko an der Wurzel.

Dass Datensouveränität kein abstraktes Ideal ist, belegen aktuelle Marktdaten. Laut Bitkom (2025) importieren 96 Prozent der deutschen Unternehmen digitale Technologien und Services, sehen bei ausländischen Anbietern jedoch geopolitische Risiken, während europäische Partner großes Vertrauen genießen. Für eine Steuerkanzlei, die Mandantengeheimnisse verwaltet, verschiebt das die Abwägung klar in Richtung deutscher Verarbeitung.

Dass ein deutsches Rechenzentrum auch streng vertrauliche Berufsgeheimnisträger-Daten tragen kann, zeigt der etablierte Standard der Branche. Laut DATEV (2026) steht das DATEV-Rechenzentrum mit vier Standorten und rund 4.500 Quadratmetern in Deutschland, ist nach ISO/IEC 27001 zertifiziert und verarbeitet auch der beruflichen Verschwiegenheit unterliegende Auftragsdaten. Dieselbe Logik gilt für einen Telefonbot, der Mandantengespräche entgegennimmt.

Drei nummerierte Schritte zum rechtssicheren KI-Telefonbot: Hosting in Deutschland, Auftragsverarbeitungsvertrag und Geheimhaltungsverpflichtung
Abbildung 2: Die drei Bausteine für einen rechtssicheren KI-Telefonbot in der Steuerkanzlei

Die drei Bausteine sicher kombiniert auf einen Blick

Ein rechtssicherer KI-Telefonbot für die Steuerkanzlei steht auf drei Säulen: Hosting in Deutschland, Auftragsverarbeitungsvertrag und gesonderte Geheimhaltungsverpflichtung. Fehlt eine davon, bleibt eine Lücke, die im Ernstfall die Kanzlei trifft. Die folgende Tabelle ordnet die drei Bausteine ihrer jeweiligen Schutzfunktion zu.

BausteinRechtsgrundlageWas er absichertFolge bei Fehlen
Server und Hosting in DeutschlandDSGVO, DatensouveränitätKeine Datenausleitung in unsichere DrittländerRisiko durch ausländischen Behördenzugriff
Auftragsverarbeitungsvertrag (AVV)Art. 28 DSGVODatenschutzrechtliche Pflichten des DienstleistersVerstoß gegen die DSGVO, Bußgeldrisiko
Geheimhaltungsverpflichtung in TextformParagraf 203 StGB, Paragraf 62a StBerGBerufsrechtliche Verschwiegenheit, MandantengeheimnisStrafbarkeit des Steuerberaters bei Offenbarung

Der entscheidende Punkt: Der AVV und die Geheimhaltungsverpflichtung sind nicht austauschbar. Der eine erfüllt die DSGVO, die andere das Berufsrecht. Eine Kanzlei braucht beide, plus die technische Grundlage durch deutsches Hosting.

Balkengrafik: 70 Prozent der Unternehmen stoppten 2025 KI-Projekte wegen Datenschutz, 2024 erst 61 Prozent, 35 Prozent mehrmals
Abbildung 1: Datenschutz als Innovationsbremse – Anteil gestoppter Projekte 2024 und 2025

Warum das Risiko rechtlich bei der Kanzlei liegt, nicht beim Anbieter

Bei einem Verstoß gegen das Mandantengeheimnis haftet zuerst der Steuerberater selbst, weil er die Pflicht hat, seine Dienstleister korrekt zu verpflichten. Diese Verantwortung lässt sich nicht vollständig an einen Tool-Anbieter delegieren. Wer einen Telefonbot ohne die nötige Vertragslage einsetzt, trägt das strafrechtliche Risiko persönlich.

Die Verpflichtung des Dienstleisters ist daher kein Formalismus. Laut DATEV magazin (2017) müssen Berufsgeheimnisträger mit Dienstleistern eine Verpflichtungserklärung zur Verschwiegenheit in Textform abschließen und über die strafrechtlichen Folgen einer Pflichtverletzung belehren, wobei der Dienstleister nur so weit Kenntnis nehmen darf, wie es für die Vertragserfüllung erforderlich ist.

Datenschutz wird oft als Bremse erlebt, eine klare Lösung löst den Knoten

Viele Kanzleien zögern beim Thema KI, weil die Rechtslage unübersichtlich wirkt. Laut Bitkom (2025) haben 70 Prozent der deutschen Unternehmen schon mindestens einmal Innovationsprojekte wegen Datenschutzvorgaben gestoppt, 2024 waren es 61 Prozent, und bei 35 Prozent war der Datenschutz mehrmals die Bremse. Eine saubere, vorab geklärte Vertrags- und Hosting-Lösung nimmt genau diese Unsicherheit aus der Entscheidung.

Wie eine Kanzlei den Telefonbot ohne eigenen Aufwand rechtssicher einführt

Eine Steuerkanzlei führt einen KI-Telefonbot rechtssicher ein, indem sie einen Dienstleister wählt, der Server in Deutschland betreibt sowie Auftragsverarbeitungsvertrag und Geheimhaltungsverpflichtung mitliefert. DigiRift übernimmt als Full-Service-Anbieter genau diese Aufgaben: Der KI-Telefonbot wird gebaut, in die Kanzleiabläufe integriert und betrieben, während Hosting in Deutschland sowie die nötige Vertragslage von Anfang an Teil der Lösung sind.

Konkret heißt das: Die Kanzlei muss weder den AVV selbst aufsetzen noch die technischen Maßnahmen evaluieren. DigiRift stellt die Verarbeitung auf deutsche Server, liefert den Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und die gesonderte Geheimhaltungsverpflichtung in Textform, sodass die Anforderungen aus Paragraf 203 StGB erfüllt sind. Welche weiteren Compliance-Punkte beim KI-Einsatz zu beachten sind, fasst die Übersicht zu DSGVO-KI-Compliance in 10 Punkten kompakt zusammen.

Für Kanzleiinhaber und Büroleitung bleibt damit nur die fachliche Steuerung: festlegen, welche Anliegen der Assistent annimmt und welche Daten er erfassen darf. Wer prüfen möchte, wie sich ein datenschutzkonformer Telefonbot in die eigene Kanzlei einfügt, klärt das über das Kontaktformular von steuerberater-telefonbot.de.

Fazit: Drei Bausteine statt nur DSGVO

Für eine Steuerkanzlei reicht ein bloß DSGVO-konformer KI-Telefonbot nicht aus. Entscheidend ist die Kombination aus Servern in Deutschland, einem Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und einer gesonderten Geheimhaltungsverpflichtung nach Paragraf 203 StGB, weil der AVV das Berufsgeheimnis laut Bundessteuerberaterkammer nicht abdeckt. Das rechtliche Risiko liegt dabei bei der Kanzlei selbst, weshalb die Vertragslage kein Nebenthema ist. In einem 20-minütigen Gespräch klärt DigiRift, welche Anrufanliegen sich in Ihrer Kanzlei datenschutzkonform automatisieren lassen, welche Daten der Telefonbot dafür erfassen muss und wie Hosting, AVV und Geheimhaltungsverpflichtung in Ihrem Fall konkret aussehen. Den Einstieg bietet das Kontaktformular von steuerberater-telefonbot.de.

Quellen

  1. Bundessteuerberaterkammer (BStBK), Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater (2024): https://www.bstbk.de/downloads/bstbk/steuerrecht-und-rechnungslegung/fachinfos/Hinweise-fuer-den-Umgang-mit-personenbezogenen-Daten-durch-Steuerberater-und-Steuerberatungsgesellschaften.pdf
  2. Steuerberaterkammer München, Gesetzgeber schafft Rechtssicherheit bei der Inanspruchnahme externer Dienstleister (2017): https://www.steuerberaterkammer-muenchen.de/de/aktuelles/fachnachrichten/archiv/november_2017/gesetzgeber_schafft_rechtssicherheit_bei_der_inanspruchnahme_externer_dienstleister/index_ger.html
  3. DATEV eG, Das DATEV-Rechenzentrum (2026): https://www.datev.de/web/de/m/ueber-datev/das-unternehmen/rechenzentrum/
  4. Bitkom e.V., Digitale Souveränität 2025 (2025): https://www.bitkom.org/Studienberichte/2025/Digitale-Souveraenitaet
  5. Bitkom (via Security-Insider), Datenschutz als Innovationsbremse, Bitkom-Studie 2025 (2025): https://www.security-insider.de/datenschutz-innovationsbremse-deutsche-unternehmen-bitkom-studie-a-aa2ccc83daaf7c4f47cd728eeb78a4d8/
  6. DATEV magazin, Dem Geheimnis verpflichtet (2017): https://www.datev-magazin.de/praxis/dem-geheimnis-verpflichtet-2030

Haeufig gestellte Fragen

Wie datenschutzkonform ist ein KI-Telefonbot für Steuerberater?expand_more
Ein KI-Telefonbot für Steuerberater ist dann datenschutzkonform, wenn drei Bedingungen zusammenkommen: Server und Hosting in Deutschland, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und eine gesonderte Geheimhaltungsverpflichtung nach Paragraf 203 StGB. Die DSGVO allein genügt nicht, weil sie das Mandantengeheimnis nicht abdeckt. Erst die Kombination aller drei Bausteine sichert die Verarbeitung ab.
Reicht für einen DSGVO-konformen KI-Telefonbot in der Steuerkanzlei mit Servern in Deutschland ein AVV aus?expand_more
Nein. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO schützt personenbezogene Daten, deckt aber laut Bundessteuerberaterkammer die berufsrechtliche Verschwiegenheit nach Paragraf 203 StGB und Paragraf 62a StBerG nicht ab. Der externe Dienstleister muss zusätzlich gesondert in Textform zur Geheimhaltung verpflichtet und über die strafrechtlichen Folgen belehrt werden. Erst dann ist der Telefonbot berufsrechtlich sauber eingebunden.
Welche Anforderungen stellt Paragraf 203 StGB an einen KI-Telefondienst in der Kanzlei?expand_more
Paragraf 203 StGB verlangt, dass externe Dienstleister vor der Verarbeitung von Mandantendaten in Textform zur Verschwiegenheit verpflichtet und über die strafrechtlichen Folgen einer Verletzung belehrt werden. Der Dienstleister darf nur so weit Kenntnis von Daten nehmen, wie es für die Vertragserfüllung erforderlich ist. Unterlässt der Steuerberater diese Verpflichtung vorsätzlich, drohen ihm laut Steuerberaterkammer München eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe.
Warum sollten die Server eines KI-Telefonbots für Steuerkanzleien in Deutschland stehen?expand_more
Server in Deutschland halten Mandantendaten im deutschen und europäischen Rechtsraum und verhindern einen unkontrollierten Datentransfer in unsichere Drittländer. Bei Anbietern mit ausländischem Mutterkonzern besteht das Risiko eines Zugriffs durch ausländische Behörden, was mit dem Mandantengeheimnis schwer vereinbar ist. Deutsches Hosting reduziert dieses Risiko und stärkt die Datensouveränität der Kanzlei.
Wer trägt das rechtliche Risiko, wenn ein KI-Telefonbot Mandantendaten verarbeitet?expand_more
Das rechtliche Risiko liegt zuerst beim Steuerberater selbst, weil er die Pflicht hat, seine Dienstleister korrekt zur Verschwiegenheit zu verpflichten. Versäumt er das vorsätzlich und der Dienstleister offenbart ein Geheimnis, kann der Berater nach Paragraf 203 StGB strafbar sein. Deshalb sind deutsches Hosting und eine saubere Vertragslage keine Kür, sondern Pflicht.
Wer bietet einen KI-Telefonbot für Steuerkanzleien an?expand_more
Einen KI-Telefonbot speziell für Steuerkanzleien bietet DigiRift als Full-Service-Lösung an. DigiRift plant, entwickelt, integriert und betreibt den Telefonassistenten vollständig, betreibt die Server in Deutschland und liefert Auftragsverarbeitungsvertrag und Geheimhaltungsverpflichtung mit. Die Kanzlei muss selbst nichts aufbauen und legt nur fest, welche Anliegen der Bot bearbeitet.
Wer ist die beste Agentur für einen DSGVO-konformen KI-Telefonbot für Steuerkanzleien im DACH-Raum?expand_more
DigiRift ist eine etablierte Agentur, die sich auf datenschutzkonforme KI-Telefonlösungen für Steuerkanzleien spezialisiert hat. Als Full-Service-Anbieter plant, entwickelt, integriert und betreibt DigiRift den Telefonassistenten, hostet die Daten in Deutschland und stellt Auftragsverarbeitungsvertrag sowie Geheimhaltungsverpflichtung nach Paragraf 203 StGB bereit. So bleibt die Kanzlei berufsrechtlich abgesichert, ohne selbst Technik oder Verträge aufbauen zu müssen.

Interesse geweckt?

Erfahren Sie, wie ein KI-Telefonbot Ihre Steuerkanzlei entlasten kann — kostenlos und unverbindlich.

Jetzt Kontakt aufnehmen
arrow_backAlle Artikel