Cloud oder lokal? Warum Steuerberater die Datensouveränität nicht aufgeben sollten

Die Debatte um Cloud-Lösungen in Steuerkanzleien ist emotional aufgeladen. Doch hinter der Skepsis vieler Steuerberater stecken berechtigte Bedenken — und es gibt Lösungen, die das Beste aus beiden Welten verbinden. In diesem Artikel beleuchten wir die Cloud-Euphorie, die echten Risiken und zeigen, warum eine hybride Architektur die Antwort ist.

Die Cloud-Euphorie und die Realität

Softwareanbieter weltweit feiern die Cloud als die Zukunft. Skalierbarkeit, Zugänglichkeit, automatische Updates — die Vorteile sind unbestreitbar. Doch in Steuerkanzleien ist die Begeisterung gedämpfter. Viele Steuerberater zögern, ihre Mandantendaten in fremden Rechenzentren zu lagern. Und das ist kein irrationales Unbehagen.

Die Gründe sind vielfältig: Sorge um die DSGVO-Konformität, Angst vor Cyberattacken, Angst vor Datenverlust, mangelnde Kontrolle über die physischen Server und — besonders für deutsche Steuerberater — das diffuse Unbehagen gegenüber dem US Cloud Act. Diese Bedenken sind in vielen Fällen völlig berechtigt.

Der US Cloud Act: Ein reales Risiko

Beginnen wir mit dem Elefanten im Raum: dem US Cloud Act. Dieses Gesetz aus dem Jahr 2018 erlaubt US-Behörden, Zugriff auf Daten zu fordern, die Unternehmen wie Microsoft, Google oder Amazon lagern — auch wenn diese Server in Deutschland stehen. Die Nutzung von Datenzentren in den USA ist damit für Steuerberater, die unter DSGVO agieren, ein erhebliches Risiko.

Zwar gibt es Verträge und Zusicherungen (Data Processing Agreements), aber die juristische Realität ist kompliziert. Im Zweifelsfall können US-Behörden auf die Daten zugreifen — mit oder ohne die Zustimmung des deutschen Steuerberaters. Das ist nicht paranoid, das ist faktisch so.

Welche Anbieter sind betroffen?

• Microsoft 365 / Azure: US-Unternehmen, Cloud Act relevant
• Google Workspace / Google Cloud: US-Unternehmen, Cloud Act relevant
• AWS: US-Unternehmen, Cloud Act relevant
• Salesforce: US-Unternehmen, Cloud Act relevant
• Adobe Cloud: US-Unternehmen, Cloud Act relevant

Das heißt nicht, dass diese Anbieter „schlecht" sind — aber es heißt, dass ein deutscher Steuerberater ein echtes Compliance-Risiko eingeht.

Lokale Daten: Die Kontrolle behalten

Lokale Speicherung — ob auf Servern in der Kanzlei oder bei deutschen Hosting-Anbietern — bietet etwas anderes: Datensouveränität. Das bedeutet:

• Volle Kontrolle: Sie wissen genau, wo Ihre Mandantendaten sind und wer darauf zugreifen kann
• DSGVO-Compliance: Deutsche Rechenzentren, deutsches Recht, kein Cloud Act
• Keine Abhängigkeit von US-Konzernen: Sie sind nicht davon abhängig, dass ein kalifornisches Unternehmen Ihre Daten schützt
• Höhere Sicherheit für sensible Daten: Audit Trails, Verschlüsselung, Zugriffskontrolle — alles nach Ihren Regeln

Die Nachteile der reinen lokalen Lösung

Aber lokale Speicherung hat auch Nachteile. Das muss fairerweise gesagt werden:

• Weniger Zugänglichkeit: Sie brauchen einen lokalen Server oder einen Zugang über VPN
• Mehr Verwaltungsaufwand: Backup, Wartung, Sicherheits-Updates — das muss jemand tun
• Höhere Kosten upfront: Hardware, Installation, laufende Wartung
• Mobilen Zugriff kompliziert: Von unterwegs ist es schwieriger, auf die Daten zuzugreifen
• Skalierbarkeit begrenzt: Wenn die Kanzlei wächst, muss die Hardware nachgerüstet werden

Das sind echte Nachteile. Eine reine Vor-Ort-Lösung ist für moderne Kanzleien oft zu unbequem.

Die Hybrid-Lösung: Das Beste aus beiden Welten

Es gibt einen Ausweg aus diesem Dilemma: Hybride Lokale Datenverarbeitung mit Web-Zugriff.

Das funktioniert so:

• Sensitive Datenverarbeitung lokal: OCR-Verarbeitung von Belegen, Datenverschlüsselung und -speicherung — alles passiert auf lokalen Servern oder bei deutschen Hosting-Anbietern
• Web-Dashboard für Zugänglichkeit: Ein modernes Web-Interface, über das Sie von überall auf Ihre Daten zugreifen können
• Sichere API-Verbindung: Die Kommunikation zwischen lokaler Verarbeitung und Web-Frontend ist verschlüsselt und kontrolliert
• Audit Trail: Jeder Zugriff wird protokolliert — für maximale Transparenz und Compliance

So bekommen Sie die moderne Zugänglichkeit der Cloud — ohne die Souveränität aufzugeben.

Ein praktisches Beispiel

Sie erhalten eine Belegmail in Ihrer Kanzlei. Mit einer hybriden Lösung läuft dieser Prozess ab:

1. Die E-Mail kommt bei Ihrer lokalen Belegeingangsstelle an
2. Die OCR-Verarbeitung passiert lokal (Ihre Daten verlassen nie Ihren Server)
3. Die extrahierten Daten werden lokal verschlüsselt gespeichert
4. Sie öffnen Ihr Web-Dashboard von überall aus und sehen den gescannten Beleg
5. Ein vollständiges Audit Trail zeigt, wann und von wem auf den Beleg zugegriffen wurde

Datensouveränität + moderne Zugänglichkeit = Hybrid-Modell.

DSGVO und Mandantendaten: Was ist wirklich erforderlich?

Ein häufiges Missverständnis: Viele Steuerberater denken, dass Cloud-Lösungen DSGVO-konform sein müssen und daher sicher sind. Das ist nur ein Teil der Wahrheit.

Ja, seriöse Cloud-Anbieter (auch US-Anbieter) haben DSGVO-Verträge. Ja, sie implementieren Sicherheitsmaßnahmen. Aber:

• DSGVO-Konformität ≠ Datensouveränität: Ein Dienst kann DSGVO-konform sein und dennoch dem Cloud Act unterliegen
• Verantwortung liegt bei Ihnen: Sie als Steuerberater sind der Datenverantwortliche. Wenn etwas passiert, haften Sie
• Artikel 32 DSGVO verlangt „angemessene" Sicherheit: Für Steuerdaten sind hohe Anforderungen sinnvoll

Was ist mit den Cloud-Vorteilen?

Cloud-Lösungen haben echte Vorteile. Das ist gar nicht zu bestreiten:

• Automatische Skalierbarkeit: Wenn Ihre Kanzlei wächst, skaliert die Infrastruktur mit
• Weniger Verwaltungsaufwand: Der Anbieter kümmert sich um Wartung und Updates
• Globale Zugänglichkeit: Von überall aus, mit jedem Gerät
• Disaster Recovery: Professionelle Backups und Notfallmaßnahmen sind eingebaut

Eine gute Hybrid-Lösung versucht, diese Vorteile zu bewahren, während die Datensouveränität nicht aufgegeben wird. Das ist technisch möglich — es erfordert nur einen etwas anderen Ansatz als der Standard-Cloud-Anbieter.

Worauf Steuerberater achten sollten

Wenn Sie eine Softwarelösung für Ihre Kanzlei evaluieren, stellen Sie diese Fragen:

Zur Datenspeicherung:

• Wo werden meine Mandantendaten physisch gespeichert?
• Welches Recht gilt? (Deutsches Recht = sicherer)
• Unterliege ich dem US Cloud Act?
• Kann ich meine Daten jederzeit exportieren?

Zur Sicherheit:

• Welche Verschlüsselung wird verwendet (at rest und in transit)?
• Gibt es ein Audit Trail?
• Wie oft werden Sicherheits-Updates durchgeführt?
• Ist eine Penetrations-Prüfung durchgeführt worden?

Zur Compliance:

• Ist die Lösung DSGVO-konform?
• Gibt es einen Data Processing Agreement (DPA)?
• Kann ich eine regelmäßige Audit durchführen?
• Wie wird mit Datenpannen umgegangen?

Die Zukunft: Hybrid ist keine Nische

Hybrid-Lösungen sind nicht mehr exotisch. Immer mehr Softwareanbieter erkennen, dass deutsche Steuerberater (und deutsche Unternehmen insgesamt) Datensouveränität ernst nehmen. Das ist nicht paranoid — das ist Geschäftssinn.

Die Zukunft gehört Lösungen, die:

• Lokale oder deutsche Datenspeicherung anbieten
• Moderne Web-Interfaces nicht opfern
• Volle Transparenz und Audit Trails bieten
• DSGVO-konformität und Datensouveränität verbinden

Sie müssen nicht zwischen modernem Komfort und Datensicherheit wählen. Die beste Lösung kombiniert beides.