Hand aufs Herz: Haben Sie heute schon eine E-Mail mit Mandantendaten verschickt? Oder einen Scan als WhatsApp-Nachricht empfangen?
Wenn ja, haben Sie mit hoher Wahrscheinlichkeit gegen § 203 StGB verstoßen — auch wenn Sie das nicht beabsichtigt haben und obwohl es alle so machen.
Das klingt dramatisch. Ist es auch. Das Problem ist systemisch, weit verbreitet — und mit VeloActa in weniger als einem Arbeitstag lösbar. Dieser Artikel erklärt, warum die üblichen Kommunikationskanäle in Kanzleien rechtlich gefährlich sind, was Sie riskieren — und was die Alternative ist.
§ 203
StGB – Berufsgeheimnis
bis zu 1 Jahr Freiheitsstrafe
20 Mio €
max. DSGVO-Bußgeld
oder 4 % des Jahresumsatzes
39 €
ab/Monat VeloActa
inkl. unbegrenzte Mandanten
Warum E-Mail für Kanzleien rechtlich gefährlich ist
§ 203 StGB schützt das Berufsgeheimnis. Wer unbefugt Geheimnisse offenbart — also Mandantendaten, Akteninhalte, steuerliche Informationen — macht sich strafbar. Das Wort „unbefugt" klingt nach einer hohen Hürde. Ist es aber nicht.
Nach der herrschenden Meinung in der Rechtswissenschaft gilt: Die Übertragung von Mandantendaten über nicht kontrollierbare Kanäle — also Standard-E-Mail, WhatsApp, US-Cloud-Dienste — erfüllt den Tatbestand der unbefugten Offenbarung, wenn keine angemessenen technischen Maßnahmen ergriffen wurden.
Die drei gefährlichsten Kanäle im Kanzleialltag
1. Standard-E-Mail (Gmail, Outlook, GMX)
E-Mails werden auf den Servern der Anbieter zwischengespeichert — häufig in den USA. Für US-Anbieter gilt der CLOUD Act: US-Behörden können auf alle Daten zugreifen, die auf US-Servern oder bei US-Tochterunternehmen liegen. Ohne Ihr Wissen, ohne Ihren Widerspruch.
- Keine Ende-zu-Ende-Verschlüsselung standardmäßig aktiviert
- Metadaten (wer kommuniziert wann mit wem) bleiben immer im Klartext
- Anhänge landen unverschlüsselt auf fremden Servern
- Kein Löschkonzept für übermittelte Mandantendaten
⚠️ CLOUD Act — unterschätztes Risiko
Selbst wenn Ihre Daten auf EU-Servern liegen: Ist der Anbieter ein US-Unternehmen (Microsoft, Google, Meta, Dropbox), können US-Behörden nach dem CLOUD Act auf die Daten zugreifen. Das EU-US Data Privacy Framework ist juristisch fragil und wurde bereits zweimal durch den EuGH gekippt.
2. WhatsApp
WhatsApp gehört zu Meta. Ein wirksamer AVV nach Art. 28 DSGVO ist mit Meta für Kanzleizwecke faktisch nicht abschließbar. Meta wertet Metadaten aus — Kontakte, Kommunikationsfrequenz, Standort — und speichert Backups unverschlüsselt auf Google Drive oder iCloud.
3. Dropbox, Google Drive, OneDrive
US-Unternehmen, US-Server, US-Recht. Auch wenn die Server physisch in Frankfurt stehen: Solange das Unternehmen US-Recht unterliegt, gilt der CLOUD Act. Die Illusion des EU-Serverstandorts schützt nicht.
Was riskieren Kanzleien konkret?
Die Dunkelziffer ist hoch — aber Fälle, die bekannt wurden, zeigen das Muster. Ein Verstoß entsteht nicht erst beim Datenleck. Die bloße Nutzung eines nicht konformen Kanals kann ausreichen.
- Berufsrechtliche Konsequenzen: Rüge und Geldbuße durch die Kammer, im Wiederholungsfall Berufsverbot
- DSGVO-Bußgelder: Bis zu 4 % des Jahresumsatzes oder 20 Mio. € — je nachdem, was höher ist
- Zivilrechtliche Haftung: Mandanten können Schadensersatz nach Art. 82 DSGVO fordern, ohne konkreten Schaden nachweisen zu müssen
- Strafrechtliche Ermittlungen: § 203 StGB ist kein Kavaliersdelikt — Staatsanwaltschaften ermitteln
- Reputationsschaden: Vertrauen ist der wichtigste Rohstoff einer Kanzlei — und einmal verloren nur schwer zurückzugewinnen
5 Kriterien für ein rechtssicheres Mandantenportal
Nicht jedes "sichere" Portal ist tatsächlich sicher. Achten Sie auf diese fünf Merkmale:
Zero-Knowledge-Verschlüsselung
Dokumente werden verschlüsselt, bevor sie den Server erreichen. Nicht einmal der Anbieter kann den Inhalt lesen. Das ist der einzige Standard, der echten Schutz gegen Datenweitergabe bietet — auch gegen staatliche Zugriffsanfragen.
Server ausschließlich in Deutschland
Kein Cloud Act, kein EU-US Data Privacy Framework. Nur deutsche Server unter deutschem Recht — das ist die einzig verlässliche Lösung. ISO 27001-Zertifizierung ist Pflichtkriterium.
AVV nach § 203 StGB und Art. 28 DSGVO
Ein auf Berufsgeheimnisträger zugeschnittener Auftragsverarbeitungsvertrag ist gesetzlich vorgeschrieben. Er muss die Besonderheiten des Berufsgeheimnisses adressieren — nicht nur generische DSGVO-Klauseln enthalten.
Audit-Log (Rechenschaftspflicht)
Wer hat wann welches Dokument eingesehen, hochgeladen oder gelöscht? Ein unveränderliches Protokoll ist Ihr Nachweis im Streitfall — und Pflicht nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht).
Mandanten zahlen nichts
Jedes Portal, das Mandanten zur Registrierung mit Kreditkarte oder einer Zahlung zwingt, wird scheitern. Datenschutzkonformität darf nicht an der Nutzungsquote scheitern. Mandanten müssen kostenlos und ohne App-Installation einsteigen können.
VeloActa im Detail: Was das Portal leistet
VeloActa wurde nicht als Allzweck-Tool gebaut und nachträglich DSGVO-konform gemacht. § 203 StGB war das erste Designprinzip — bevor die erste Zeile Code geschrieben wurde.
Kernfunktionen
- Sicherer Dokumentenaustausch: Mandanten laden Belege, Verträge und Unterlagen direkt hoch — verschlüsselt, revisionssicher, jederzeit abrufbar
- Verschlüsselte Nachrichten: Kommunikation über gesicherten Kanal mit Lesebestätigung und vollständiger Gesprächshistorie
- Automatische Fristenüberwachung: Erinnerungen 7, 3 und 1 Tag vor Ablauf — Mandant und Berater erhalten getrennte Benachrichtigungen
- Mandantenverwaltung: Einladen per E-Mail-Link, Rollen zuweisen, Zugriff widerrufen — ohne IT-Kenntnisse
- DATEV & n8n Integration: Belege landen automatisch im DMS, kein manuelles Kopieren
✅ Zero-Knowledge: Selbst VeloActa kann nicht mitlesen
Die Verschlüsselung erfolgt clientseitig auf dem Gerät des Benutzers. Der Server empfängt nur verschlüsselte Datenpakete. VeloActa-Mitarbeiter, Behörden und Hacker haben keinen mathematisch möglichen Zugriff auf unverschlüsselte Inhalte — selbst bei einem Serverzugriff.
VeloActa vs. WebAkte vs. E-Mail: Der Vergleich
WebAkte ist der bekannteste Wettbewerber im deutschen Kanzleimarkt. Der entscheidende Unterschied: WebAkte berechnet pro Akte, was Kosten unkalkulierbar macht und Kanzleien zwingt, Mandanten zu selektieren. VeloActa rechnet pauschal pro Kanzlei.
| Merkmal | Standard E-Mail | WebAkte | VeloActa |
|---|---|---|---|
| Zero-Knowledge-Verschlüsselung | ❌ Nein | ❌ Nein | ✅ Ja |
| Server in Deutschland | ⚠️ Nein (meist USA) | ✅ Ja | ✅ Ja (IONOS) |
| AVV für § 203 StGB | ❌ Nicht möglich | ✅ Ja | ✅ Ja |
| Audit-Log | ❌ Nein | ✅ Ja | ✅ Ja |
| Mandanten kostenlos | ✅ Ja | ❌ Nein (pro Akte) | ✅ Ja – unbegrenzt |
| Keine App-Installation nötig | ✅ Ja | ⚠️ Teilweise | ✅ Ja |
| Preis ab | 0 € (aber illegal) | 0,50 €/Akte/Monat | 39 €/Monat pauschal |
Migration in einer Woche: Der Umsetzungsplan
Der häufigste Einwand: „Wir haben keine Zeit für eine Migration." Hier die Realität: Eine vollständige Umstellung auf VeloActa dauert weniger als eine Arbeitswoche — ohne IT-Dienstleister.
Tag 1–2: Setup und Rechtliches
Kanzlei-Account anlegen, Logo und Corporate Design hinterlegen (ab Kanzlei-Paket). AVV herunterladen, unterzeichnen und in die Datenschutzdokumentation ablegen. Verzeichnis der Verarbeitungstätigkeiten für VeloActa anlegen. Gesamtaufwand: ca. 45 Minuten.
Tag 3–4: Erste Mandanten einladen
Starten Sie mit 5–10 technikaffinen Mandanten. Diese erhalten einen personalisierten Link, registrieren sich kostenlos und können sofort Dokumente hochladen. Keine App-Installation, keine Lernkurve. So entsteht internes Vertrauen in das System — und die ersten Best Practices für die Rollout-Kommunikation.
Tag 5–7: Standard-Prozess etablieren
VeloActa in alle Standard-Mandantenanschreiben integrieren: „Für die sichere und rechtskonforme Übermittlung von Unterlagen nutzen wir VeloActa. Sie erhalten einen persönlichen Einladungslink — kostenlos und ohne App." Ab jetzt läuft der Prozess selbst.
Häufige Fragen zur Einführung
Was, wenn Mandanten trotzdem E-Mail nutzen wollen?
Das werden einige tun. Empfehlung: Eingehende E-Mails mit sensiblen Inhalten beantworten, aber mit dem Hinweis, dass weitere Unterlagen nur noch über VeloActa ausgetauscht werden. Im Antworttext den persönlichen Link einfügen. Die meisten Mandanten wechseln nach dem ersten Erfolgserlebnis mit dem Portal freiwillig.
Gilt die Pflicht auch für kleine Steuerkanzleien?
Ja. § 203 StGB macht keine Größenunterschied. Auch ein Einzelsteuerberater oder eine Zwei-Personen-Kanzlei kann für die Nutzung unsicherer Kanäle strafrechtlich und berufsrechtlich zur Verantwortung gezogen werden.
Wie funktioniert die DATEV-Integration?
Über die n8n-Automatisierung überträgt VeloActa eingehende Dokumente automatisch in das DATEV DMS — mit korrekter Mandantenzuordnung. Kein manuelles Herunterladen und Hochladen mehr. Die Integration ist im Kanzlei-Paket inklusive.
Fazit: Das Risiko ist beherrschbar — wenn man handelt
E-Mail und WhatsApp werden im Kanzleialltag noch Jahre lang verwendet werden — aus Gewohnheit, aus Bequemlichkeit, aus Unwissen über die Rechtslage. Sie haben jetzt Kenntnis. Das bedeutet: Sie haben auch die Verantwortung, zu handeln.
Die gute Nachricht: Es war noch nie so einfach und günstig, vollständig compliant zu werden. Ein Nachmittag Einrichtungsaufwand. 39 €/Monat. Kein Risiko mehr nach § 203 StGB. Und Sie schlafen wieder ruhig.
🔒 Jetzt § 203 StGB-konform kommunizierenVeloActa ist das Mandantenportal, das speziell für Berufsgeheimnisträger entwickelt wurde. Zero-Knowledge-Verschlüsselung, Server in Deutschland, Mandanten immer kostenlos.
👉 14 Tage kostenlos testen – ohne Kreditkarte →
Weitere Artikel
KI in der Kanzlei: So starten Sie § 203 StGB-konform
E-Rechnungspflicht 2025: Was Steuerberater jetzt wissen müssen
Interesse geweckt?
Erfahren Sie in einem persönlichen Gespräch, wie Velo Automation Ihre Kanzlei entlasten kann — ohne Risiko, ohne Kreditkarte.