IT-Sicherheit für Steuerberater · von Buzzard AI

§62a StBerG und §203 StGB: warum ein AVV allein nicht reicht.

Wer bei Fernwartung oder am DMS Ihre Mandantendaten sehen kann, muss strafrechtlich zur Verschwiegenheit verpflichtet sein — ein Auftragsverarbeitungsvertrag genügt dafür nicht. TULPAR prüft die technische Seite on-premise und benennt im Klartext die wichtigste Maßnahme zuerst; Mandantendaten bleiben im Haus.

On-premise · Steuerakten & Lohndaten verlassen die Kanzlei nicht Default nur ansehen — wir tasten nichts ohne Ihre Freigabe an Sicherheits-Zeugnis im Klartext für die Kanzleileitung
Das Besondere

Vom offenen Fernzugang bis zur kompletten Mandantenakte.

Keine Liste aus hunderten Einzel-Lücken, sondern die konkrete Kette: wie aus einem ungeschützten Fernwartungszugang Schritt für Schritt der Zugriff auf alle Steuerakten der Kanzlei wird. Tippen Sie einen Schritt an, um die unterbrechende Maßnahme zu sehen.

Beispielhafte Kette in einer Kanzlei · so liest TULPAR Ihr Netz

🔌
Fernwartungszugang
RDP-Gateway · ohne Zwei-Faktor
offener Fernzugang
✅ Maßnahme: Fernzugang nur über Zwei-Faktor und feste IP-Freigabe, abgemeldete Sitzungen trennen — schon hier endet der Weg eines Fremden ins Kanzlei-Netz.
💻
Sachbearbeiter-Arbeitsplatz
WS-042 · lokaler Admin
zu weite Rechte
✅ Maßnahme: tägliche Arbeit ohne lokale Admin-Rechte, getrennte Verwaltungskonten — der Sprung vom Arbeitsplatz auf die Kanzlei-Server entfällt.
🗂️
Dienst-Konto der Kanzlei-Software
svc_dms · DATEV/DMS-Dienst
schwaches Dienst-Passwort
✅ Maßnahme: langes Zufallspasswort und nur die nötigen Rechte für das Software-Dienstkonto — kein Übergang zur zentralen Mandanten-Datenbank.
📁
Alle Mandantenakten
Steuerakten · Jahresabschlüsse · Lohndaten
Mandatsgeheimnis betroffen
✅ Wäre nur einer der Schritte davor geschlossen, käme niemand an die strafrechtlich geschützten Daten Ihrer Mandanten heran.
Vom offenen Fernzugang bis zur kompletten Mandantenakte — eine einzige Maßnahme reißt die Kette auf. TULPAR sagt Ihnen, welche bei Ihnen zuerst dran ist.
Das Problem

Beim Mandatsgeheimnis ist ein Einbruch nicht nur ein Datenschutzthema.

Die Verschwiegenheit nach §62a StBerG ist über §203 StGB strafbewehrt. Wer ins Kanzlei-Netz gelangt, sieht das geschützte Geheimnis aller Mandanten zugleich — und genau hier reicht das übliche Datenschutz-Werkzeug nicht aus. Sachliche Einordnung, keine Rechtsberatung.

⚖️

Der AVV allein trägt nicht

Ein Auftragsverarbeitungsvertrag regelt die Datenschutz-Auftragsverarbeitung. Er nimmt einem IT-Dienstleister, der bei Wartung oder am DMS Mandantendaten sehen kann, aber nicht die strafbewehrte Verschwiegenheit nach §203 StGB und §62a StBerG ab — diese Verpflichtung muss zusätzlich erfolgen.

🔌

Fernzugänge sind das Einfallstor

Fernwartung, Home-Office-Zugänge und externe DMS-Anbindungen sind praktisch — aber jeder offene Zugang ohne Zwei-Faktor ist ein Weg an Steuerakten und Lohndaten, an jeder Aktenschrank-Logik vorbei. Hier entscheidet sich, wer faktisch ins Geheimnis schauen kann.

🙈

Niemand sieht den Weg

Einzelne Lücken kennt vielleicht der IT-Betreuer — die Kette, über die sie zusammen bis an alle Mandantenakten führen, sieht in der Regel niemand. Sie fällt meist erst auf, wenn schon jemand drin war. Laut BSI trifft das rund 80 % der gemeldeten Angriffe im Mittelstand.

Was TULPAR ist

Die technische Inventur Ihres Mandatsgeheimnisses.

Eine Software, die in Ihrem Kanzlei-Netz nachvollzieht, wer faktisch an Steuerakten, Jahresabschlüsse und Lohndaten herankommen könnte — von außen über Fernzugänge wie von innen. Das Ergebnis übersetzt sie für die Kanzleileitung, nicht für die IT-Abteilung.

  • Daten bleiben in der Kanzlei. Läuft on-premise und offline — keine Steuerakte und keine Lohndatei wandert für die Prüfung in eine fremde Cloud.
  • Default: nur ansehen. Aktiv nachgestellt wird eine Schwachstelle nur mit Ihrer ausdrücklichen Freigabe und allein im eigenen Netz.
  • Der Weg, nicht die Lückenliste. Sie sehen die Kette bis zur Mandantenakte und die eine Maßnahme, die sie zuerst unterbricht.
So läuft es in der Kanzlei

Drei Schritte bis zum Sicherheits-Zeugnis.

1

Anschließen

TULPAR wird im Kanzlei-Netz eingerichtet — in der Regel ohne Eingriff in DATEV, DMS oder Lohnsoftware.

2

Erfassen lassen

🟢 Nur ansehen (Standard) oder 🟡 mit Freigabe einen Befund aktiv bestätigen — Sie behalten in jedem Schritt die Kontrolle.

3

Entscheiden

Sie erhalten das Sicherheits-Zeugnis: Schulnote, Ampel und die Maßnahme, die das Mandatsgeheimnis zuerst schützt.

4Ausreichend
Sicherheits-Zeugnis
Beispiel-Auswertung · Netzwerk „Steuerkanzlei Mustermann"
Fernwartungszugang ohne Zwei-Faktorkritisch
Dienst-Konto der Kanzlei-Software mit schwachem Passwortkritisch
Sachbearbeiter arbeiten mit lokalen Admin-Rechtenmittel
Backup der Mandantenakten nicht getrennt vom Netzmittel
Firewall & Virenschutz aktivok
Ihre wichtigste Maßnahme: Fernzugang mit Zwei-Faktor absichern — schließt allein den kürzesten Weg eines Fremden zu den Mandantenakten. Illustratives Beispiel.
Warum TULPAR

Sorgfalt am Mandatsgeheimnis, die man belegen kann.

Das Sicherheits-Zeugnis ist so geschrieben, dass die Partner es selbst lesen und vertreten können: eine Note für die Lage, eine Ampel je Befund und obenan die Maßnahme, die den kürzesten Weg zu den Mandantendaten zuerst schließt. Keine Rechtsberatung, keine Garantie — aber ein nachvollziehbarer Beleg Ihrer Sorgfalt.

⚖️

Für Berufsgeheimnisträger gedacht

Der Befund denkt in Mandatsgeheimnis, nicht in CVE-Nummern — Steuerakten, Lohndaten, Fernzugänge.

📎

Sorgfalt dokumentiert

Belege Richtung DSGVO Art. 32 & Cyberversicherung — keine Zertifizierung, keine Konformitätsgarantie.

🏠

Bleibt in der Kanzlei

Offline, ohne Cloud — kein Abfluss von Steuer- oder Lohndaten über die Prüfung selbst.

🛡️

Nichts ohne Freigabe

Wir tasten nichts an, was Sie nicht ausdrücklich freigeben — und nur im eigenen Netz.

Vertiefen

Mehr zu IT-Sicherheit und Verschwiegenheit.

Preis

Erst sehen, wie es um die Mandantendaten steht. Individuell für Ihre Kanzlei.

TULPAR Sicherheitscheck
Individuell
Erster Sicherheitscheck schnell startklar · Angebot auf Anfrage
  • Erfassung im eigenen Kanzlei-Netz — mit Blick auf Fernzugänge, DMS und Lohnsoftware
  • Die Kette bis zur Mandantenakte — und die eine Maßnahme, die sie zuerst aufreißt
  • Sicherheits-Zeugnis für die Kanzleileitung: Schulnote, Ampel, Maßnahmen-Reihenfolge
  • Belege zur Dokumentation Ihrer Sorgfalt (DSGVO Art. 32, Cyberversicherung) — ohne Garantie
  • On-premise, Default nur ansehen — Steuer- und Lohndaten bleiben in der Kanzlei
Sicherheitscheck anfragen →
Häufige Fragen

Verschwiegenheit, Fernwartung & Mandantendaten.

Als sachliche Einordnung, nicht als Rechtsberatung: Für Steuerberater geht die Verschwiegenheit über das reine Datenschutzrecht hinaus. §62a StBerG verpflichtet zur Verschwiegenheit, §203 StGB stellt deren Verletzung unter Strafe. Wer bei Fernwartung, am DMS oder an der Lohnsoftware Mandantendaten sehen kann, gilt vielfach als mitwirkende Person und muss deshalb über den Auftragsverarbeitungsvertrag hinaus strafrechtlich wirksam zur Verschwiegenheit verpflichtet werden. Der AVV nach Art. 28 DSGVO regelt die datenschutzrechtliche Auftragsverarbeitung, nimmt Ihrem Dienstleister aber nicht diese strafbewehrte Pflicht ab. TULPAR ersetzt diese vertragliche Verpflichtung nicht — sie ist Sache von Kammer und rechtlichem Rat —, deckt aber die technische Seite ab: Wer kommt im Netz faktisch an welche Mandantendaten heran.

Das ist genau einer der heiklen Punkte. Ein Fernwartungszugang ist technisch oft ein Vollzugang auf die Kanzlei: Wer ihn nutzt, kann auf Steuerakten, Jahresabschlüsse und Lohndaten zugreifen — auch wenn das gar nicht beabsichtigt ist. Zwei Dinge gehören daher zusammen: vertraglich muss der Dienstleister strafrechtlich wirksam zur Verschwiegenheit verpflichtet sein (keine Rechtsberatung, das klären Sie mit Ihrer Kammer), und technisch sollte der Zugang abgesichert sein — etwa mit Zwei-Faktor, eng begrenzten Rechten und Protokollierung. TULPAR zeigt im Klartext, wie offen Ihre Fernzugänge tatsächlich stehen und welcher davon das größte Einfallstor zu den Mandantendaten ist.

Weil in einer Kanzlei die wirtschaftlich intimsten Daten gleich vieler Mandanten an einer Stelle zusammenlaufen: Umsätze, Gewinne, vollständige Jahresabschlüsse, Lohn- und Gehaltsabrechnungen, Bankverbindungen, Belege. Ein einziges kompromittiertes Kanzlei-Netz öffnet damit nicht ein Unternehmen, sondern berührt das strafrechtlich geschützte Mandatsgeheimnis sämtlicher betreuter Mandanten zugleich. Laut BSI richten sich rund 80 % der gemeldeten Cyberangriffe gegen kleine und mittlere Unternehmen, und Ransomware bleibt die größte Bedrohung — zugleich haben nur etwa 18 % der kleinen Betriebe einen Notfallplan. Eine Kanzlei verbindet hohe Datenkonzentration mit oft schlanker IT, und genau diese Kombination macht sie attraktiv.

Ja, das ist der Anspruch. Statt einer technischen Fundliste erhalten Sie ein Sicherheits-Zeugnis: eine Schulnote für die Gesamtlage, eine Ampel pro Befund und obenan die eine Maßnahme, die den gefährlichsten Weg zu den Mandantendaten zuerst schließt. So können auch Partner ohne IT-Ausbildung entscheiden, wo Budget und Zeit zuerst hingehören, und die Sorgfalt gegenüber dem Mandatsgeheimnis nachvollziehbar steuern — ohne dass jemand Fachbegriffe übersetzen muss.

Virenschutz und einfache Scanner melden einzelne Auffälligkeiten — jede für sich, ohne Zusammenhang. TULPAR denkt stattdessen in Wegen: Es verbindet für sich harmlose Schwächen — einen offenen Fernzugang, ein schwaches Passwort am Service-Konto der Kanzlei-Software, ein veraltetes Gerät — zu der Kette, über die jemand bis an alle Mandantenakten käme. Und es nennt den einen Schritt, der diese Kette unterbricht. Damit ergänzt TULPAR die Arbeit Ihres IT-Betreuers, statt sie zu ersetzen: Sie und Ihr Dienstleister sehen schwarz auf weiß, wo bei den Mandantendaten zuerst anzusetzen ist.

TULPAR identifiziert Schwachstellen technisch und dokumentiert sie nachvollziehbar. Diese Belege können Ihre Sorgfalt gegenüber den Mandantendaten untermauern und in die nach DSGVO Art. 32 geforderte regelmäßige Überprüfung der Wirksamkeit Ihrer technischen Maßnahmen oder in einen Cyberversicherungsantrag einfließen. Eine Garantie ist das ausdrücklich nicht: TULPAR ist keine Zertifizierung, keine Rechtsberatung und macht Sie nicht automatisch konform. Cyberversicherer verlangen 2026 häufig MFA, Patch-Management, Berechtigungskonzepte und regelmäßige Schwachstellentests und lehnen fast jeden dritten Antrag ab — eine dokumentierte, wiederholbare Prüfung verbessert hier Ihre Ausgangslage.

Nein. TULPAR ist eine autorisierte Selbstprüfung Ihres eigenen Kanzlei-Netzes, kein Angriffswerkzeug gegen Dritte. Im Standard wird ausschließlich angesehen (read-only): Die Software verschafft sich ein Bild davon, wie Ihr Netz aufgebaut ist und wo Mandantendaten erreichbar wären, ohne aktiv einzugreifen. Eine Schwachstelle wird nur dann tatsächlich nachgestellt, wenn Sie es ausdrücklich freigeben, und das geschieht allein in Ihrem eigenen Netz. Es wird nichts angetastet, was Sie nicht freigeben — gerade beim Mandatsgeheimnis ist dieser kontrollierte, autorisierte Rahmen entscheidend.

Der Umfang richtet sich nach der Größe Ihres Kanzlei-Netzes, der Zahl der Standorte und Ihren Anforderungen — Sie erhalten ein individuelles Angebot. Einsteigen können Sie mit einem ersten Sicherheitscheck, der im Klartext zeigt, wie es um die Mandantendaten steht. Zur Einordnung: einfache Schwachstellentests beginnen am Markt oft bei rund 2.000 EUR, während die durchschnittlichen Kosten einer Datenpanne im Mittelstand bei etwa 200.000–500.000 EUR liegen — und bei einer Kanzlei kommt der mögliche Verlust des Mandantenvertrauens noch obendrauf.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Kanzlei-Netzwerk und wird von Buzzard AI angeboten. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. Die Hinweise zu §62a StBerG, §203 StGB, §202a StGB und der DSGVO sind eine sachliche Einordnung und keine Rechtsberatung; ob und wie sie für Ihre Kanzlei gelten, klären Sie mit Ihrer Steuerberaterkammer oder rechtlichem Rat. TULPAR liefert technische Belege zur Schwachstellen-Dokumentation, ist aber keine Zertifizierung und garantiert keine Konformität nach DSGVO, NIS2 oder BSI IT-Grundschutz. Genannte Marken, Paragrafen und CVE-Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Wie gut ist das Mandatsgeheimnis Ihrer Kanzlei technisch wirklich geschützt?

Finden wir es gemeinsam heraus. In einem kurzen Gespräch sehen wir uns Ihre Fernzugänge und Ihr Kanzlei-Netz an und zeigen, wie der Sicherheitscheck bei Ihnen abläuft — on-premise, Default nur ansehen, Sicherheits-Zeugnis im Klartext inklusive.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp