Droht Haftung nach Datenleaks und Ransomware-Attacken?
Die Digitalisierung der Steuerberatung bringt zwar enorme Effizienzgewinne mit sich, öffnet aber auch neue Türen für Cyberkriminelle. Doch wer haftet, wenn Datenlecks persönliche Mandantendaten offenlegen oder Ransomware-Angriffe Kanzleisysteme lahmlegen?
🔐 Cybersecurity: Die unterschätzte Haftungsfalle
Steuerberater sind Hüter hochsensibler Daten, die berufsrechtlich, aufgrund der DSGVO und § 203 StGB geschützt sein müssen. Doch während Steuerberater ihre inhaltliche Kompetenz ständig hinterfragen, wird das Thema Cybersicherheit oft als „IT-Problem” delegiert. Ein Datenleck ist jedoch nicht nur ein technisches Versagen. Im Ernstfall stellt sich die Frage: Hätte der Steuerberater das verhindern können?
⚖️ Wer haftet bei Cybersecurity-Vorfällen?
Der Steuerberater ist verpflichtet, eine sichere Infrastruktur zu schaffen und zu unterhalten.
Konkret muss er z.B. gewährleisten, dass
👉 Zugriffsrechte sachgerecht vergeben und kontrolliert werden,
👉 Sicherheitsupdates zeitnah eingespielt werden,
👉 Backups regelmäßig erstellt und getestet werden,
👉 Netzwerke segmentiert und Daten verschlüsselt sind,
👉 Mitarbeiter geschult sind
Wurde ein Datenleak fahrlässig herbeigeführt – etwa, weil Sicherheitsupdates Monate ausstanden oder Passwörter wie „1234" im Einsatz waren, kann dies als Pflichtverletzung ausgelegt werden und zum Schadensersatz führen. Ransomware ist besonders tückisch. Angreifer verschlüsseln Daten, fordern Lösegeld und drohen womöglich noch, die Daten zu veröffentlichen. Für Steuerkanzleien ist das eine Horrorvorstellung: Mandantendaten im Dark Web?!
Viele Steuerberater denken: „Meine Software ist von einem großen Anbieter, der haftet doch für Sicherheitslücken!“ Zwar kann der Softwareanbieter unter Umständen für Sicherheitslücken in seiner Software haftbar gemacht werden. Das bedeutet im Zweifel jedoch eine Gesamtschuld und keine Entlastung des Steuerberaters.
Wichtiger noch: Der Softwareanbieter haftet nur für Mängel seiner Software. Nicht für fahrlässige Implementierung, fehlende Konfiguration, Bedienerfehler oder nachlässige Wartung.
🛡️ Best Practice: Cybersecurity minimiert Haftung
Aus meiner Beratungspraxis in Haftungs- und Regressfällen zeigt sich, dass insbesondere folgende Maßnahmen geeignet sind, Haftungsrisiken wirksam zu reduzieren:
👉 Sicherheitsinfrastruktur implementieren
Multi-Faktor-Authentifizierung (MFA) für alle Systeme, regelmäßige Sicherheitsupdates, verschlüsselte Kommunikation und Datenspeicherung, Netzwerksegmentierung (Mandantendaten sind von Verwaltungssystemen getrennt) und möglichst auch regelmäßige Penetrationstests durch externe Spezialisten.
👉 Regelmäßige Mitarbeiterschulungen durchführen (und dokumentieren)
Cybersicherheit beginnt im Kopf. Phishing-E-Mails sind Türöffner für 70 % der Cyberangriffe. Schulungen für Mitarbeiter sind daher keine Option, sondern Berufspflicht.
👉 Incident Response Plan anlegen
Was ist zu tun, wenn es passiert? Wer wird informiert? Wie werden die Mandanten benachrichtigt? Ein dokumentierter Plan minimiert Schäden und entlastet im Haftungsfall.
👉 Versicherungsschutz
Eine Cyberversicherung ist essenziell. Sie deckt nicht nur direkte Schäden wie Lösegeldersatz und Datenwiederherstellung, sondern auch Haftungskosten und Reputationsschutz.
⚠️ Wo Perfektion illusorisch ist
Kein Netzwerk ist zu 100 % sicher. Selbst bei Umsetzung aller Maßnahmen kann es zu einem Datenleck kommen, beispielsweise durch Zero-Day-Exploits, Innentäter oder Unaufmerksamkeit. Der entscheidende Unterschied ist jedoch: Ein Steuerberater, der nachweisen kann, dass er professionelle Sicherheitsstandards implementiert und regelmäßig überprüft hat, wird im Haftungsfall deutlich besser dastehen als einer, der Cybersecurity als „externe IT-Sache” behandelt hat.
FAZIT
Cybersecurity ist Berufspflicht
Während die Steuerberatung sich digitalisiert, wächst auch das Haftungsrisiko. Datenlecks und Ransomware-Angriffe sind keine Zukunftsmusik mehr, sondern bereits Realität.
Der Schlüssel zur Haftungsminderung liegt darin, Cybersicherheit nicht als IT-Kostenfaktor, sondern als Berufsverantwortung zu betrachten. Eine sichere Infrastruktur ist kein Zusatz, den man sich leisten kann, sondern der moderne Steuerberater muss sich auch mit seinem Netzwerk-Switch auskennen.
Denn am Ende gilt: Technologie ist nur so gut wie derjenige, der sie nutzt und schützt.
______________________
✍️ Selbst Lust darauf, Erfahrungen & Wissen zu teilen? Dann gerne hier eintragen:
IM BEITRAG ERWÄHNTE TOOL-KATEGORIEN 
DATENSCHUTZ
Datenschutz-Softwarelösungen helfen dabei, sensible Mandantendaten DSGVO-konform zu verarbeiten und sicher zu verwalten.
