LazyPDF
Tipps & Tricks26. März 2026
Meidy Baffou·LazyPDF

Sicherer Dokumentenaustausch für Steuerberater: PDF-Schutz und DSGVO-Compliance

Der Austausch von Steuerdokumenten zwischen Steuerberater und Mandant ist ein tägliches Geschäft voller Risiken. Eine falsch adressierte E-Mail mit einer Steuererklärung, ein unverschlüsselter PDF-Anhang oder ein unsicherer Cloud-Link können dazu führen, dass hochsensible Finanzdaten in die falschen Hände geraten. Als Steuerberater tragen Sie die Verantwortung für die Sicherheit der Ihnen anvertrauten Mandantendaten. Die DSGVO verpflichtet Sie, geeignete technische und organisatorische Schutzmaßnahmen zu ergreifen. Dies gilt nicht nur für die interne Kanzleiorganisation, sondern auch für die Kommunikation mit Mandanten, Finanzämtern und anderen Behörden. Gleichzeitig müssen Dokumente schnell und unkompliziert übertragen werden können — aufwendige Sicherheitsprozesse, die den Mandanten überfordern oder die tägliche Arbeit unnötig verlangsamen, sind in der Praxis nicht durchhaltbar. Dieser Leitfaden zeigt, wie Sie als Steuerberater einen optimalen Mittelweg finden: maximale Sicherheit bei minimalem bürokratischen Aufwand. Von der richtigen PDF-Verschlüsselung über sichere Kommunikationskanäle bis zur Mandantenschulung erklärt dieser Artikel alles, was Sie für einen DSGVO-konformen Dokumentenaustausch benötigen.

Die häufigsten Sicherheitslücken beim Steuerdokumenten-Austausch

In der täglichen Praxis von Steuerberatungskanzleien lauern zahlreiche Sicherheitslücken, die oft aus Zeitdruck oder Bequemlichkeit entstehen. Das häufigste Problem ist der unverschlüsselte Versand von PDFs per E-Mail. Viele Steuerberater senden Steuererklärungen, Bescheide und Jahresabschlüsse als einfache E-Mail-Anhänge — ohne jede Verschlüsselung. E-Mails ohne Verschlüsselung sind wie Postkarten: Sie können auf dem Weg zum Empfänger von Dritten gelesen werden. Ein weiteres Problem ist die Verwendung unsicherer Dateiübertragungsdienste. Wenn Mandanten große PDF-Dateien senden, greifen viele auf bekannte Dienste zurück, ohne zu prüfen, ob diese DSGVO-konform sind und ob die Daten verschlüsselt übertragen werden. Cloud-Dienste von US-Unternehmen sind oft datenschutzrechtlich problematisch. Passwort-Wiederverwendung ist ein weiteres Risiko: Wenn Sie für alle Mandanten dasselbe Passwort für PDF-Verschlüsselung verwenden, gefährdet die Kompromittierung eines Passworts die Sicherheit aller Mandantendokumente. Schließlich ist mangelnde Mitarbeiterschulung ein häufiges Problem: Kanzleimitarbeiter, die nicht in sicherem Dokumentenaustausch geschult sind, können durch eine einzige Unachtsamkeit erhebliche Datenschutzverletzungen verursachen.

  1. 1Führen Sie eine Bestandsaufnahme aller aktuell genutzten Kommunikationskanäle für den Dokumentenaustausch durch und bewerten Sie deren Sicherheit.
  2. 2Identifizieren Sie alle unverschlüsselten E-Mail-Weiterleitungen von Mandantendaten und stellen Sie diese auf verschlüsselte Alternativen um.
  3. 3Erstellen Sie eine kanzleiweite Richtlinie für den sicheren Dokumentenaustausch und kommunizieren Sie diese an alle Mitarbeiter.
  4. 4Schulen Sie alle Mitarbeiter in sicherem Dokumentenaustausch und führen Sie regelmäßige Auffrischungsschulungen durch.
  5. 5Überprüfen Sie regelmäßig die eingesetzten Dienste auf DSGVO-Konformität — Cloud-Dienste und deren Datenschutzbedingungen ändern sich häufig.

PDF-Verschlüsselung richtig einsetzen: Passwörter und Standards

Die PDF-Verschlüsselung ist die grundlegendste Sicherheitsmaßnahme beim Versand von Steuerdokumenten. Moderne PDFs unterstützen AES-256-Verschlüsselung, die als sehr sicher gilt. Entscheidend ist jedoch die Qualität des verwendeten Passworts: Ein schwaches Passwort macht selbst die stärkste Verschlüsselung wertlos. Für die Praxis empfehlen sich verschiedene Passwortstrategien: Mandantenspezifische Passwörter (z.B. eine Kombination aus Geburtsdatum und einer kanzleiinternen Kennung) bieten den Vorteil, dass sie personalisierbar und für den Mandanten merkbar sind, ohne für Außenstehende erraten werden zu können. Dokumentenspezifische Einmalpasswörter sind sicherer, erfordern aber mehr Koordinationsaufwand. Für die Übermittlung des Passworts gilt: Das Passwort darf niemals zusammen mit dem PDF versendet werden. Die gebräuchlichste Methode ist der telefonische Austausch. Alternativ können sichere Messenger-Dienste oder SMS genutzt werden. Beim Empfang von Mandantendokumenten als verschlüsselte PDFs sollten Sie das Passwort unmittelbar nach dem Öffnen in Ihrem internen Passwortmanagement speichern und das passwortgeschützte Originaldokument unverändert archivieren.

  1. 1Legen Sie ein kanzleiweites Standard-Passwortschema für Mandantendokumente fest (z.B. Geburtsdatum des Mandanten + kanzleiinterner Code).
  2. 2Verschlüsseln Sie alle ausgehenden PDFs mit Mandantendaten mit AES-256 und einem starken Passwort vor dem Versand.
  3. 3Kommunizieren Sie Passwörter immer über einen separaten Kanal (Telefon oder SMS) — niemals in derselben E-Mail wie das verschlüsselte PDF.
  4. 4Speichern Sie alle verwendeten Passwörter in einem sicheren, kanzleiweiten Passwortmanagementsystem mit Zugriffskontrolle.

ELSTER und DATEV: Digitale Steuererklärung sicher übermitteln

Für Steuerberater in Deutschland sind ELSTER (Elektronisches Steuererklärungssystem) und DATEV die wichtigsten digitalen Plattformen für die Steuerberatung. Beide Systeme bieten sichere, verschlüsselte Kommunikationskanäle für die Übermittlung von Steuerdaten an Finanzämter und zwischen Steuerberater und Mandant. Bei der Übermittlung über ELSTER werden Steuerdaten Ende-zu-Ende verschlüsselt übertragen. Die Bestätigung der Übermittlung (das sogenannte ELSTER-Protokoll) sollte als PDF archiviert werden. Dieses Dokument beweist, dass die Steuererklärung fristgerecht und vollständig übermittelt wurde. DATEV bietet eigene sichere Kommunikationskanäle für den Austausch von Mandantendaten. Wenn Sie DATEV-Dokumente als PDFs exportieren und außerhalb des DATEV-Systems versenden, gelten dieselben Sicherheitsanforderungen wie für andere Steuerdokumente. Steuerliche Bescheide, die Sie von Finanzämtern erhalten, sollten sofort nach Erhalt als PDFs archiviert werden — sofern sie nicht bereits digital vorliegen. Papier-Bescheide sollten gescannt und mit OCR-Texterkennung versehen werden.

  1. 1Archivieren Sie alle ELSTER-Übermittlungsprotokolle als PDFs mit dem Datum der Übermittlung als Dateiname.
  2. 2Exportieren Sie Steuerbescheide aus ELSTER als PDFs und archivieren Sie diese sofort in der Mandantenakte.
  3. 3Informieren Sie Mandanten über den Eingang von Steuerbescheiden und versenden Sie Kopien als verschlüsselte PDFs.
  4. 4Überprüfen Sie empfangene Steuerbescheide auf Korrektheit und dokumentieren Sie eventuelle Einsprüche als separate PDFs.

Mandantenkommunikation sichern: Das DSGVO-konforme Onboarding

Die sicherste Kanzleiinfrastruktur nützt wenig, wenn Mandanten Dokumente auf unsicherem Weg übersenden. Ein gutes Mandanten-Onboarding, das Sicherheitsanforderungen erklärt und einfache Anweisungen gibt, ist daher ein wichtiger Teil der DSGVO-Compliance. Erstellen Sie ein kurzes, verständliches Merkblatt für neue Mandanten, das erklärt, wie Dokumente sicher übermittelt werden sollen. Vermeiden Sie technischen Jargon und konzentrieren Sie sich auf konkrete Handlungsanweisungen. Informieren Sie Mandanten über die Einrichtung sicherer Kommunikationskanäle: Wie ist das Kanzlei-Portal zu nutzen? Wie werden Passwörter für verschlüsselte PDFs kommuniziert? Was sollten Mandanten tun, wenn sie unsicher sind, ob ein erhaltenes Dokument von der Kanzlei stammt (Phishing-Prävention)? In der Datenschutzerklärung Ihrer Kanzlei müssen alle Verarbeitungsschritte von Mandantendaten transparent dargelegt sein. Aktualisieren Sie diese regelmäßig und informieren Sie Mandanten über Änderungen.

Häufig gestellte Fragen

Ist die Übermittlung von Steuerdokumenten per WhatsApp DSGVO-konform?

WhatsApp ist für die Übermittlung von Steuerdokumenten in der Regel nicht DSGVO-konform. Das Hauptproblem ist, dass WhatsApp Metadaten und Kontaktdaten in die USA überträgt, was nach dem Schrems-II-Urteil problematisch ist. Außerdem kann der Mandant Screenshots erstellen und Dokumente unkontrolliert weitergeben. Für Steuerberater empfehlen sich stattdessen sichere, DSGVO-konforme Messenger wie Signal (Ende-zu-Ende-verschlüsselt, keine Metadaten-Übertragung) oder spezialisierte Kanzleiportale. Im Zweifelsfall konsultieren Sie Ihren Datenschutzbeauftragten.

Welche Strafe droht, wenn ich Mandantendaten ungeschützt per E-Mail versende?

Bei einem DSGVO-Verstoß durch ungeschützten Versand von Mandantendaten können die Datenschutzbehörden Bußgelder verhängen, die je nach Schwere des Verstoßes zwischen einigen Tausend bis zu Millionen Euro betragen können. Hinzu kommen mögliche zivilrechtliche Schadensersatzansprüche des betroffenen Mandanten sowie berufsrechtliche Konsequenzen durch die zuständige Steuerberaterkammer. In der Praxis sind einzelne, unbeabsichtigte Fehler mit einer Verwarnung geahndet worden. Systematische Missachtung der Datenschutzvorgaben kann jedoch zu erheblichen Sanktionen führen.

Kann ich Steuerdokumente über Dropbox oder Google Drive mit Mandanten austauschen?

US-amerikanische Cloud-Dienste wie Dropbox und Google Drive sind nach dem Schrems-II-Urteil des EuGH datenschutzrechtlich problematisch, da Daten auf US-Servern gespeichert und potenziell US-Behörden zugänglich sind. Wenn Sie solche Dienste nutzen möchten, benötigen Sie mit dem Anbieter einen Auftragsverarbeitungsvertrag (AVV) nach DSGVO Art. 28 und müssen die Datenschutzrisiken in Ihrer Risikoabwägung dokumentieren. Empfehlenswert sind EU-basierte Cloud-Dienste oder spezialisierte DSGVO-konforme Kanzleiportale.

Wie kann ich sicherstellen, dass ein per E-Mail empfangenes Dokument nicht gefälscht ist?

Digitale Signaturen (z.B. qualifizierte elektronische Signaturen nach eIDAS-Verordnung) sind die sicherste Methode, um die Authentizität von PDF-Dokumenten zu bestätigen. Alternativ können Sie mit dem Mandanten oder der Behörde ein Codeword vereinbaren, das in offiziellen Dokumenten erscheint. Bei besonders sensiblen Dokumenten empfiehlt sich die direkte Rückfrage beim Absender über einen bekannten Kommunikationskanal (z.B. die eingetragene Telefonnummer), bevor Sie handeln. Bei E-Mails sollten Sie immer auf die vollständige Absenderadresse achten, nicht nur auf den Anzeigenamen.

Schützen Sie Steuerdokumente mit LazyPDF: Verschlüsseln Sie PDFs mit starkem Passwortschutz für sicheren Mandantenaustausch.

PDFs jetzt schützen

Ähnliche Artikel

Tipps & Tricks

Wasserzeichen oder Logo zu PDF hinzufügen

Produktivität

PDF-Workflows für Teams automatisieren | Leitfaden

Tipps & Tricks

Mehrere Dateien auf einmal in PDF umwandeln

Zurück zum Blog