Steuerberater speichert Mandantendaten in Dropbox
Warum die Speicherung von Mandantendaten in US-Cloud-Diensten wie Dropbox ein gravierendes DSGVO-Problem darstellt und welche sicheren Alternativen existieren.
Das Szenario
Die Steuerkanzlei Berger & Partner in Augsburg betreut rund 180 Mandanten — von Einzelunternehmern bis hin zu mittelständischen GmbHs. Kanzleiinhaber Thomas Berger hat vor drei Jahren Dropbox Business eingeführt, um den Dokumentenaustausch mit Mandanten zu vereinfachen. Steuererklärungen, Lohnabrechnungen, Gewinn- und Verlustrechnungen sowie persönliche Steuerbescheide werden über freigegebene Dropbox-Ordner zwischen der Kanzlei und den Mandanten hin- und hergeschickt.
Das System funktioniert im Alltag reibungslos: Die Kanzleimitarbeiterin Sabine Meier erstellt für jeden neuen Mandanten einen geteilten Ordner und verschickt den Einladungslink per E-Mail. Manche Mandanten erhalten sogar öffentliche Links ohne Passwortschutz, weil es „einfacher" sei. Die Jahresabschlüsse der letzten drei Geschäftsjahre liegen für alle Mitarbeiter der Kanzlei zugänglich in einer gemeinsamen Ordnerstruktur.
Im November 2025 führt die Bayerische Datenschutzbehörde (BayLDA) eine anlasslose Prüfung bei drei Steuerkanzleien in Schwaben durch — darunter Berger & Partner. Die Prüfer stellen innerhalb weniger Stunden fest:
- Kein Auftragsverarbeitungsvertrag (AVV): Mit Dropbox Inc. wurde kein AVV gemäß Art. 28 DSGVO geschlossen. Die Standard-Nutzungsbedingungen von Dropbox reichen dafür nicht aus.
- Drittlandübermittlung ohne Rechtsgrundlage: Mandantendaten werden auf Servern in den USA verarbeitet. Nach dem Schrems-II-Urteil des EuGH fehlt eine tragfähige Rechtsgrundlage für diese Übertragung. Das EU-US Data Privacy Framework wird von den Prüfern als unzureichend bewertet, da keine Transfer Impact Assessment durchgeführt wurde.
- Ungeschützte Freigabelinks: 47 der 180 Mandantenordner sind über öffentliche Links zugänglich — ohne Passwort, ohne Ablaufdatum, ohne Zugriffskontrolle. Die Prüfer können drei dieser Links über eine einfache Google-Suche finden.
- Kein Audit-Trail: Die Kanzlei kann nicht nachweisen, wer wann auf welche Mandantendaten zugegriffen hat. Dropbox-Aktivitätsprotokolle wurden nie ausgewertet oder archiviert.
- Keine Verschlüsselung der Inhalte: Die Dateien liegen unverschlüsselt in Dropbox. Dropbox selbst hat technisch Zugriff auf die Inhalte.
Thomas Berger erhält im Januar 2026 einen 12-seitigen Mängelbescheid der Behörde.
Die Risiken
Die Nutzung von US-Cloud-Diensten wie Dropbox für sensible Mandantendaten birgt erhebliche Risiken, die weit über formale Datenschutzverstöße hinausgehen.
US CLOUD Act: Amerikanische Behörden können US-Unternehmen — und damit auch Dropbox — zur Herausgabe von Daten verpflichten, selbst wenn diese auf europäischen Servern gespeichert sind. Für steuerliche Daten, die dem Steuergeheimnis unterliegen, ist dieses Risiko besonders gravierend. Ein Mandant, dessen Finanzdaten an US-Behörden gelangen, kann erheblichen wirtschaftlichen Schaden erleiden.
Schrems-II-Nachwirkungen: Das Urteil des EuGH (C-311/18) hat den EU-US Privacy Shield für ungültig erklärt. Das nachfolgende EU-US Data Privacy Framework bietet zwar einen Rahmen, erfordert aber eine individuelle Bewertung der Risiken durch den Verantwortlichen. Die meisten Steuerkanzleien führen diese Bewertung nie durch.
Fehlender Auftragsverarbeitungsvertrag: Ohne einen AVV, der die technischen und organisatorischen Maßnahmen, die Weisungsbindung und die Löschpflichten regelt, gibt der Verantwortliche die Kontrolle über die Datenverarbeitung faktisch ab. Dropbox verarbeitet Daten auch zu eigenen Zwecken — etwa zur Produktverbesserung —, was ohne explizite Rechtsgrundlage unzulässig ist.
Öffentliche Freigabelinks: Ein Link ohne Passwortschutz und Ablaufdatum ist funktional gleichbedeutend mit einer Veröffentlichung der Daten im Internet. Suchmaschinen können solche Links indexieren, und jeder, der den Link kennt oder errät, erhält uneingeschränkten Zugriff.
Fehlender Audit-Trail: Ohne lückenlose Protokollierung kann die Kanzlei bei einem Datenschutzvorfall nicht feststellen, welche Daten betroffen sind, wer darauf zugegriffen hat und wann der Zugriff stattfand. Die Meldepflicht nach Art. 33 DSGVO kann so nicht ordnungsgemäß erfüllt werden.
Rechtliche Konsequenzen
Die datenschutzrechtlichen Verstöße betreffen mehrere Normen gleichzeitig:
Art. 44-49 DSGVO — Drittlandübermittlung: Jede Übermittlung personenbezogener Daten in ein Drittland bedarf einer Rechtsgrundlage nach Kapitel V der DSGVO. Ohne angemessenes Schutzniveau, Standardvertragsklauseln mit ergänzenden Maßnahmen oder eine genehmigte Zertifizierung ist die Übermittlung rechtswidrig. Bußgelder: bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes.
Art. 28 DSGVO — Auftragsverarbeitung: Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien bieten und mit denen ein Vertrag nach Art. 28 Abs. 3 geschlossen wurde. Die Nutzung von Dropbox ohne AVV verstößt direkt gegen diese Pflicht.
Art. 32 DSGVO — Sicherheit der Verarbeitung: Ungeschützte Freigabelinks und fehlende Verschlüsselung verstoßen gegen die Pflicht, ein dem Risiko angemessenes Schutzniveau sicherzustellen. Bei Steuerdaten — die regelmäßig wirtschaftliche Verhältnisse, Gesundheitsausgaben und familiäre Situationen offenbaren — ist ein hohes Schutzniveau erforderlich.
§ 57 StBerG — Verschwiegenheitspflicht: Steuerberater unterliegen einer gesetzlichen Verschwiegenheitspflicht. Die Speicherung von Mandantendaten in einem Cloud-Dienst, auf den der Anbieter und potenziell ausländische Behörden zugreifen können, stellt einen Verstoß gegen diese Pflicht dar. Im schlimmsten Fall droht der Widerruf der Bestellung.
Art. 33/34 DSGVO — Meldepflicht: Die über Google auffindbaren Freigabelinks stellen eine meldepflichtige Datenschutzverletzung dar, die sowohl der Aufsichtsbehörde als auch den betroffenen Mandanten mitgeteilt werden muss.
Finanzielle Auswirkungen
| Kostenposition | Geschätzter Betrag |
|---|---|
| Bußgeld Datenschutzbehörde (Drittlandübermittlung) | 15.000 – 50.000 € |
| Bußgeld fehlender AVV | 5.000 – 15.000 € |
| Externer Datenschutzberater (Sofortmaßnahmen) | 3.000 – 8.000 € |
| Mandantenbenachrichtigung gemäß Art. 34 DSGVO | 2.000 – 5.000 € |
| Migration auf DSGVO-konforme Lösung | 1.500 – 4.000 € |
| Anwaltliche Vertretung im Bußgeldverfahren | 3.000 – 12.000 € |
| Reputationsschaden und Mandantenverlust | 5.000 – 30.000 € |
| Gesamtkosten | 30.000 – 120.000 € |
Die geschätzten Beträge basieren auf veröffentlichten Bußgeldentscheidungen deutscher Datenschutzbehörden gegenüber kleinen und mittelständischen Unternehmen. Bei besonders schweren Verstößen oder mangelnder Kooperation können die Beträge deutlich höher ausfallen.
Die sichere Alternative
SendMeSafe wurde speziell für Szenarien wie den Dokumentenaustausch in Steuerkanzleien entwickelt — mit Datenschutz als Grundprinzip, nicht als nachträgliche Ergänzung.
EU-gehostete Infrastruktur: Alle Daten werden ausschließlich auf Servern von Hetzner in Deutschland verarbeitet und gespeichert. Es findet keine Drittlandübermittlung statt. Die Problematik des CLOUD Act und der Schrems-II-Rechtsprechung entfällt vollständig.
Ende-zu-Ende-Verschlüsselung: Dateien werden mit AES-256 verschlüsselt gespeichert. Selbst im Fall eines Servereinbruchs sind die Inhalte ohne den Entschlüsselungsschlüssel wertlos.
Sichere Upload-Links: Statt offener Dropbox-Ordner erstellen Kanzleien individuelle Upload-Links für jeden Mandanten. Jeder Link kann mit einem Passwort, einem Ablaufdatum und einer maximalen Dateigröße versehen werden. Nach Ablauf oder Nutzung wird der Link automatisch deaktiviert.
Lückenloser Audit-Trail: Jeder Zugriff, jeder Upload und jeder Download wird protokolliert — mit Zeitstempel, IP-Adresse und Benutzerkennung. Bei einer behördlichen Prüfung kann die Kanzlei jederzeit nachweisen, wer wann auf welche Daten zugegriffen hat.
AVV inklusive: SendMeSafe stellt einen Auftragsverarbeitungsvertrag bereit, der alle Anforderungen des Art. 28 DSGVO erfüllt. Kein zusätzlicher Verhandlungsaufwand, keine rechtliche Unsicherheit.
Nahtlose Integration in den Kanzleialltag: Mandanten erhalten einen einfachen Link, über den sie Belege, Steuerbescheide und Unterlagen hochladen können — ohne Registrierung, ohne eigenes Konto, ohne technische Hürden. Die Kanzlei behält jederzeit die volle Kontrolle.
Erfahren Sie mehr über die Sicherheitsarchitektur von SendMeSafe oder testen Sie die Plattform 14 Tage kostenlos.
Häufig gestellte Fragen
Ist Dropbox nicht DSGVO-konform?
Dropbox bietet zwar Standardvertragsklauseln und hat sich unter dem EU-US Data Privacy Framework zertifiziert. Für die DSGVO-Konformität reicht das allein jedoch nicht aus. Der Verantwortliche — in diesem Fall die Steuerkanzlei — muss eine eigene Risikobewertung (Transfer Impact Assessment) durchführen, ergänzende technische Maßnahmen implementieren und einen vollständigen AVV abschließen. In der Praxis geschieht dies bei den meisten kleinen Kanzleien nicht, wodurch die Nutzung rechtswidrig bleibt.
Kann ich als Steuerberater überhaupt Cloud-Dienste nutzen?
Ja, grundsätzlich ist die Nutzung von Cloud-Diensten auch für Steuerberater zulässig — sofern die datenschutzrechtlichen und berufsrechtlichen Anforderungen erfüllt sind. Entscheidend ist, dass die Daten ausschließlich in der EU verarbeitet werden, ein wirksamer AVV vorliegt, angemessene technische Schutzmaßnahmen wie Verschlüsselung implementiert sind und die Verschwiegenheitspflicht nach § 57 StBerG gewahrt bleibt. EU-gehostete Dienste wie SendMeSafe erfüllen diese Anforderungen von Haus aus.
Was passiert, wenn ein Mandant den Dropbox-Verstoß meldet?
Jede betroffene Person hat das Recht, sich bei einer Datenschutzbehörde zu beschweren (Art. 77 DSGVO). Eine solche Beschwerde löst in der Regel eine Prüfung durch die Behörde aus. Zusätzlich kann der Mandant Schadensersatz nach Art. 82 DSGVO geltend machen — sowohl für materielle als auch für immaterielle Schäden. Bei Steuerberatern kommt hinzu, dass die Steuerberaterkammer berufsrechtliche Sanktionen verhängen kann, die bis zum Widerruf der Bestellung reichen.
Wie schnell muss ich nach einem Datenschutzvorfall reagieren?
Nach Art. 33 DSGVO muss eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden. Besteht ein hohes Risiko für die Rechte der Betroffenen — was bei Steuerdaten regelmäßig der Fall ist —, müssen auch die betroffenen Mandanten unverzüglich benachrichtigt werden (Art. 34 DSGVO). Verspätete Meldungen werden als eigener Verstoß geahndet und können das Bußgeld erhöhen.
Häufig gestellte Fragen
Schützen Sie Ihr Unternehmen
Vermeiden Sie Datenschutzvorfälle mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen