Erstgespräch vereinbaren
Alle Artikel
Compliance & Datenschutz 6. März 2026 8 Min. Lesezeit

DSGVO vs. Berufsgeheimnis: Warum DSGVO-konform nicht reicht

Viele KI-Anbieter werben mit DSGVO-Konformität. Für Anwälte, Steuerberater und Wirtschaftsprüfer reicht das nicht. Warum - und was stattdessen gilt.

„Unser Tool ist DSGVO-konform” - und warum Sie das nicht beruhigen sollte

Wenn KI-Anbieter um Kanzleien werben, fällt ein Satz besonders häufig: „Unser Tool ist DSGVO-konform.” Das klingt beruhigend. Es suggeriert: Alles geprüft, alles sicher, Sie können loslegen.

Für ein normales Unternehmen mag das stimmen. Für Rechtsanwälte, Steuerberater und Wirtschaftsprüfer ist DSGVO-Konformität aber nur die halbe Miete. Denn neben der DSGVO gilt für Berufsgeheimnisträger ein zweites, deutlich strengeres Regelwerk: § 203 StGB.

Diesen Unterschied zu kennen, ist nicht akademisch - er kann über Ihre Strafbarkeit entscheiden.

DSGVO und § 203 StGB: Zwei Gesetze, zwei Welten

Auf den ersten Blick schützen beide Gesetze sensible Informationen. In der Praxis unterscheiden sie sich fundamental:

Was wird geschützt?

  • DSGVO: Schützt personenbezogene Daten von EU-Bürgern - Name, Adresse, Geburtsdatum, IP-Adresse und ähnliches.
  • § 203 StGB: Schützt alles, was einem Berufsgeheimnisträger anvertraut wird - einschließlich Geschäftsstrategien, Vertragsentwürfe, Verhandlungspositionen, Unternehmensbewertungen. Auch dann, wenn kein einziger personenbezogener Datenpunkt enthalten ist.

Welche Konsequenzen drohen?

  • DSGVO: Bußgelder bis 20 Millionen Euro oder 4 % des Jahresumsatzes. Schmerzhaft, aber es handelt sich um Verwaltungsrecht - kein Eintrag ins Führungszeugnis.
  • § 203 StGB: Straftatbestand. Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Dazu kommen berufsrechtliche Konsequenzen bis hin zum Entzug der Zulassung.

Wer ist Adressat?

  • DSGVO: Gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet.
  • § 203 StGB: Gilt spezifisch für Berufsgeheimnisträger und deren Mitarbeiter.

Ein Beispiel, das den Unterschied zeigt

Stellen Sie sich vor, eine mittelständische Kanzlei nutzt ein KI-Tool, um die M&A-Strategie eines Mandanten zu analysieren. Die Partnerin gibt Eckdaten ein: Übernahmeziel, Kaufpreisvorstellung, strategische Überlegungen, Finanzierungsstruktur. Keine Namen natürlicher Personen, keine Adressen - rein geschäftliche Informationen.

Aus DSGVO-Sicht

Wenn keine personenbezogenen Daten verarbeitet werden, ist die DSGVO möglicherweise gar nicht einschlägig. Es gibt keinen Verstoß, kein Bußgeld, kein Problem.

Aus § 203-Sicht

Die M&A-Strategie ist ein Geheimnis des Mandanten, das der Kanzlei in ihrer beruflichen Eigenschaft anvertraut wurde. Wird dieses Geheimnis an einen KI-Anbieter übermittelt, der nicht ordnungsgemäß zur Verschwiegenheit verpflichtet ist, liegt eine potenzielle Straftat vor.

Das bedeutet: Ein Tool kann vollständig DSGVO-konform sein und trotzdem für Ihre Kanzlei strafrechtlich unzulässig.

Was „DSGVO-konform” tatsächlich bedeutet

Wenn ein Anbieter „DSGVO-konform” sagt, meint er in der Regel:

  • Es gibt einen Auftragsverarbeitungsvertrag (AVV/DPA)
  • Die Datenverarbeitung erfolgt in der EU oder in einem Land mit Angemessenheitsbeschluss
  • Es gibt ein Verzeichnis der Verarbeitungstätigkeiten
  • Technische und organisatorische Maßnahmen (TOMs) sind dokumentiert
  • Betroffenenrechte (Auskunft, Löschung) werden gewährleistet

Das ist solide Datenschutzarbeit. Aber es fehlt das, was Berufsgeheimnisträger zusätzlich brauchen.

Was Berufsgeheimnisträger darüber hinaus brauchen

1. Verschwiegenheitsverpflichtung nach § 203 Abs. 3 StGB

Ein Standard-AVV ist keine Verschwiegenheitsverpflichtung im Sinne des § 203 StGB. Sie brauchen eine gesonderte, explizite Vereinbarung, in der sich der Anbieter und seine Mitarbeiter zur Geheimhaltung aller anvertrauten Informationen verpflichten - nicht nur der personenbezogenen Daten.

Fragen Sie nach: Hat der Anbieter Erfahrung mit Berufsgeheimnisträgern? Bietet er eine spezifische Verschwiegenheitsvereinbarung an?

2. Technische Maßnahmen jenseits der DSGVO

Die DSGVO verlangt „angemessene” technische Maßnahmen. Für Berufsgeheimnisträger sollte der Standard höher liegen:

  • Kundenseitige Verschlüsselung (der Anbieter kann Ihre Daten nicht im Klartext lesen)
  • Kein Training auf Kundendaten - vertraglich zugesichert, nicht nur als Opt-out
  • Keine Einsicht durch Support-Mitarbeiter ohne Ihre Zustimmung
  • Protokollierung aller Zugriffe (Audit-Log)

3. EU-Datenresidenz oder On-Premise

DSGVO-Konformität erlaubt Datenverarbeitung auch außerhalb der EU - etwa in den USA, sofern Standardvertragsklauseln oder der EU-US Data Privacy Framework greifen. Für Berufsgeheimnisträger ist das riskant.

Der sicherste Weg: EU-Datenresidenz (Verarbeitung und Speicherung ausschließlich in der EU) oder On-Premise-Betrieb (die Daten verlassen Ihre Infrastruktur nie).

KI-Anbieter bewerten: 5 Fragen, die Sie stellen sollten

Wenn ein KI-Anbieter an Ihre Kanzleitür klopft, stellen Sie diese fünf Fragen:

1. „Bieten Sie eine Verschwiegenheitsverpflichtung nach § 203 Abs. 3 StGB an?” Wenn der Anbieter nicht weiß, wovon Sie sprechen, ist er für Ihre Kanzlei nicht geeignet.

2. „Wo genau werden unsere Daten verarbeitet - und können Sie EU-Datenresidenz garantieren?” Achten Sie auf den Unterschied zwischen „unsere Server stehen in der EU” und „Ihre Daten verlassen die EU nicht”.

3. „Werden unsere Eingaben zum Training oder zur Produktverbesserung verwendet?” Selbst ein Opt-out reicht nicht, wenn die Daten zwischenzeitlich verarbeitet werden. Fordern Sie eine vertragliche Zusicherung.

4. „Welche Subunternehmer haben Zugang zu unseren Daten?” Jeder Sub-Processor ist ein zusätzliches Risiko. Fordern Sie eine vollständige Liste - und das Recht, Änderungen zu widersprechen.

5. „Können wir die Lösung auch On-Premise oder in einer dedizierten EU-Umgebung betreiben?” Anbieter, die diese Option bieten, haben das Thema Datensouveränität verstanden.

Fazit: DSGVO ist notwendig, aber nicht hinreichend

Die DSGVO ist ein wichtiges Fundament. Aber für Berufsgeheimnisträger ist sie nur die Grundlage, nicht das Ziel. Wer als Anwalt, Steuerberater oder Wirtschaftsprüfer KI-Tools einsetzen will, muss über die DSGVO hinausdenken - hin zu § 203 StGB, zu Verschwiegenheitsverpflichtungen und zu echter Datensouveränität.

Der Aufwand lohnt sich: Wer diese Hausaufgaben macht, kann KI rechtskonform und mit gutem Gewissen nutzen - und sich gleichzeitig von Wettbewerbern abheben, die das Thema auf die leichte Schulter nehmen.

Wir unterstützen Kanzleien dabei, KI-Tools zu finden und einzuführen, die den Anforderungen an Berufsgeheimnisträger gerecht werden. Erfahren Sie mehr über unsere Datensouveränitäts-Beratung oder unsere KI-Einführung für Kanzleien.

DSGVO Berufsgeheimnis § 203 StGB Datenschutz KI-Compliance

Wie kann KI Ihrer Kanzlei helfen?

In 30 Minuten finden wir gemeinsam heraus, welche Aufgaben Sie sofort automatisieren können. Kostenlos, unverbindlich - und ehrlich.

Kostenloses Erstgespräch vereinbaren