Kurze Antwort
Aus DSGVO-Sicht eignen sich für Steuerkanzleien am ehesten Tools mit EU-/Deutschland-Server, vollständigem AVV nach Art. 28 DS-GVO und ohne KI-Training mit Nutzerdaten. In unserem Testfeld schneiden vier Tools im DSGVO-Check vergleichsweise solide ab: Lexoffice (DSGVO-Score 8,0/10 nach unserer Bewertungsmethodik), sevDesk (7,0/10), DeepL Pro (7,0/10) und LanguageTool Business (5,0/10). Für die Verarbeitung echter Mandantendaten empfehlen wir ChatGPT Plus und DeepSeek nach aktuellem Stand dagegen nicht.
Die genannten Scores sind Risikoeinschätzungen nach unserer Methodik, keine rechtlichen Gutachten.
Wichtig: Ein hoher DSGVO-Score bedeutet nicht automatisch, dass ein Tool in jeder Kanzlei rechtskonform eingesetzt werden kann. Entscheidend sind auch die konkrete Nutzung, der Abschluss eines AVV und die internen Datenschutzprozesse der Kanzlei (TOMs, Berechtigungskonzept, Datenarten).
Das Problem: Warum die Tool-Wahl für Kanzleien heikel ist
Mandantendaten — Kontoauszüge, Jahresabschlüsse, Steuerbescheide — sind besonders schützenswert. Wer solche Daten in ein KI-Tool eingibt, das sie für Modell-Training verwendet oder auf US-Servern verarbeitet, riskiert je nach Konstellation:
- DSGVO-Bußgelder (bis 4 % des weltweiten Jahresumsatzes)
- Berufsrechtliche Konsequenzen (Verschwiegenheitspflicht nach § 57 StBerG)
- Vertrauensverlust bei Mandanten
Wichtig ist die Unterscheidung: Nicht das Tool allein ist „erlaubt” oder „verboten” — es kommt darauf an, welche Daten hineingegeben werden und wie die Kanzlei es einbindet.
Vier Tools im DSGVO-Check
LanguageTool Business — DSGVO-Score 5,0/10
Einsatz: Briefe, Bescheide und Mandantenkommunikation sprachlich prüfen.
Laut Anbieter-Dokumentation Server in Deutschland, vollständiger AVV nach Art. 28 DS-GVO und kein Training mit Kundendaten. Die Datenschutzerklärung gibt an, dass eingegebene Texte nicht dauerhaft gespeichert werden — diesen Punkt sollte jede Kanzlei vor dem Einsatz im AVV/in der DSE noch einmal selbst nachvollziehen.
Belege: 📄 AVV · 📄 Datenschutzerklärung · 🌐 Serverstandort laut Anbieter
Anwendungsszenario: Eine Kanzlei kann ausgehende Mandantenbriefe auf Rechtschreibung und Fachvokabular prüfen lassen. Wie risikoarm das ist, hängt davon ab, welche personenbezogenen Inhalte tatsächlich im Text stehen.
DeepL Pro — DSGVO-Score 7,0/10
Einsatz: Kommunikation mit internationalen Mandanten, Übersetzung von Dokumenten.
Laut Anbieter Server in Deutschland/EU und AVV verfügbar; die Pro-Variante sieht laut Datenschutzerklärung vor, dass Texte nicht zum Training genutzt und nach der Übersetzung nicht dauerhaft gespeichert werden. Für Kanzleien mit ausländischen Mandanten eine naheliegende Wahl.
Belege: 📄 AVV · 📄 Datenschutzerklärung · 🌐 Serverstandort laut Anbieter
sevDesk — DSGVO-Score 7,0/10
Software mit integrierten KI-Funktionen (Buchhaltung).
Einsatz: Buchhaltung, Rechnungen, DATEV-Export.
Laut Anbieter Server in Deutschland und ISO-27001-zertifiziert. Die 10-jährige Aufbewahrungspflicht nach GoBD ist kein DSGVO-Problem — sie ist gesetzlich vorgeschrieben.
Belege: 📄 AVV · 🌐 Serverstandort laut Anbieter · 🔬 ISO 27001 (Zertifikat)
Lexoffice — DSGVO-Score 8,0/10
Software mit integrierten KI-Funktionen (Buchhaltung).
Einsatz: Buchhaltung für kleinere Mandantenstämme, direkter Steuerberater-Zugang.
Haufe Group, laut Anbieter Server in Deutschland. Etablierter DATEV-Workflow.
Belege: 📄 AVV (Haufe Group) · 🌐 Serverstandort laut Anbieter
Affiliate-Hinweis
Die folgenden Links sind Partner-Links — wir erhalten ggf. eine Provision, ohne Mehrkosten für dich. Auf die oben stehende Bewertung hat das keinen Einfluss (siehe Methodik und Redaktion).
- LanguageTool Business: zum Anbieter
- DeepL Pro: zum Anbieter
- sevDesk: zum Anbieter
- Lexoffice: zum Anbieter
Welche Tools wir für Mandantendaten derzeit nicht empfehlen
Die folgenden Einschätzungen beziehen sich auf die Verarbeitung echter, personenbezogener Mandantendaten — nicht auf jede Nutzung des Tools allgemein.
| Tool | Aus DSGVO-Sicht kritisch | DSGVO-Score |
|---|---|---|
| ChatGPT Plus | AVV laut Anbieter v.a. in Business-/Enterprise-Plänen (Stand Mai 2026 — bitte aktuelle Bedingungen prüfen), CLOUD-Act-Risiko, Training im Plus-Plan nicht standardmäßig deaktiviert | 4,2/10 |
| DeepSeek | Server in China, kein nachweisbarer AVV, kein EU-Angemessenheitsbeschluss | 0,5/10 |
| Copy.ai | Laut Anbieter kein DPF, AVV erst ab höherem Plan, vage Löschfristen | 4,1/10 |
Tarife und Datenschutzbedingungen können sich kurzfristig ändern — prüfe vor dem Einsatz immer die aktuellen Bedingungen des Anbieters.
Checkliste: Worauf Kanzleien aus DSGVO-Sicht achten sollten
- ✅ Server in EU/EWR (bevorzugt Deutschland)
- ✅ Vollständiger AVV nach Art. 28 DS-GVO (alle 8 Pflichtpunkte) — und tatsächlich abgeschlossen
- ✅ Kein Training mit Kundendaten (vertraglich zugesichert)
- ✅ Dokumentierte Löschfristen
- ✅ Kein erkennbares CLOUD-Act-Risiko — oder zusätzliche Schutzmaßnahmen (z.B. Verschlüsselung, Pseudonymisierung)
- ✅ Interne Prozesse: Berechtigungskonzept, TOMs, klare Regeln, welche Daten eingegeben werden dürfen
Methodik
Alle Scores stammen aus unserer Bewertungsmethodik (7 gewichtete DSGVO-Kategorien) und sind Risikoeinschätzungen, keine Rechtsberatung. Stand der Prüfung: Mai 2026. Angaben zu einzelnen Tools beruhen auf öffentlich zugänglichen Quellen (Datenschutzerklärung, AVV, Anbieter-Dokumentation) und können sich ändern — Hinweise auf Fehler nehmen wir gern entgegen.
Häufige Fragen
Darf ein Steuerberater ChatGPT nutzen?
Ja. Heikel wird es bei der Verarbeitung echter Mandantendaten — hier können datenschutz- und berufsrechtliche Risiken entstehen. Entscheidend sind Tarif, AVV, die konkreten Datenarten und die internen Prozesse der Kanzlei.
Braucht eine Steuerkanzlei für KI-Tools immer einen AVV?
Wenn personenbezogene Daten im Rahmen einer Auftragsverarbeitung verarbeitet werden, in der Regel ja. Ist der Anbieter dagegen eigener Verantwortlicher oder werden keine personenbezogenen Daten verarbeitet, kann das anders sein.
Sind EU-Server allein ausreichend?
Nein. Zusätzlich relevant sind AVV, Löschfristen, KI-Training, Konzernstruktur (CLOUD-Act) und mögliche Drittlandtransfers.