Cyber-Versicherung für Steuerberater
Steuerkanzleien verwalten die sensibelsten Finanzdaten ihrer Mandanten — und sind genau deshalb beliebte Ziele für CEO-Fraud, Phishing und Ransomware. Ein einziger falscher Klick in der Buchhaltung kann Sechsstellige Schäden und Kammerverfahren auslösen.
Kurzantwort: Warum Steuerkanzleien doppelt gefährdet sind
Die Gothaer Cyber-Versicherung (AVB 216273, Stand 02.2025) deckt auch Steuerkanzleien bei Datenrechtsverletzungen, IT-Sicherheitsverletzungen und Hacker-Angriffen. Der Unterschied zu anderen Branchen: Steuerberater unterliegen zusätzlich der Verschwiegenheitspflicht nach § 57 StBerG und dem strafrechtlich geschützten Berufsgeheimnis nach § 203 StGB. Eine Datenpanne hat damit nicht nur DSGVO-, sondern auch berufsrechtliche Dimensionen.
Drei Angriffsarten sind in Kanzleien besonders häufig: (1) CEO-Fraud mit gefälschter Anweisung an die Buchhaltung, (2) Phishing-Mails mit angeblichen DATEV-Nachrichten, (3) Ransomware auf dem Kanzlei-Server mit allen Mandantendaten. Für alle drei gibt es passende Bausteine — aber sie müssen vertraglich eingeschlossen sein.
Was deckt Cyber-Versicherung in der Steuerkanzlei ab?
Leistungsblöcke aus der Gothaer Cyber-Versicherung (Teil III und Teil IV AVB), die für Steuerkanzleien relevant sind.
IT-Forensik für Kanzleisysteme
Qualifizierter IT-Dienstleister analysiert Angriff auf DATEV, Kanzlei.Komfort, Addison oder eigene Server. Erste 48 Stunden auch bei Fehlalarm gedeckt (Ziffer 3.1 AVB).
Cyber-Betrug & CEO-Fraud
Optional nach Teil IV Ziffer 3.2 AVB: Finanzielle Eigenschäden durch manipulierte Zahlungsanweisungen, gefälschte Mandanten-Mails oder Identitätstäuschung sind mitversicherbar.
Ransomware-Entschlüsselung
Verschlüsselte Mandantenakten werden durch Experten wiederhergestellt. Lösegeldzahlung nur mit Freigabe durch Gothaer (Teil IV Ziffer 4 AVB).
Betriebsunterbrechung
Steht die Kanzlei-IT still, laufen keine Lohnabrechnungen, keine Jahresabschlüsse, keine Fristenüberwachung. Betriebsunterbrechung (Teil IV Ziffer 1 AVB) gleicht Honorarausfall aus.
DSGVO-Meldung & Anwaltskosten
Pflichtmeldung nach Art. 33 DSGVO innerhalb 72 Stunden, rechtssichere Information aller betroffenen Mandanten — inklusive anwaltlicher Formulierungshilfe.
DATEV-Cloud & Unternehmen online
DATEV-Cloud-Dienste sind ausgegliederte Datenverarbeitung und müssen nach Teil II Ziffer 7.3 AVB ausdrücklich mitversichert sein.
Krisenmanager
Erfahrener Krisenmanager koordiniert Kommunikation mit Mandanten, Steuerberaterkammer, Finanzbehörden und Presse.
Drittschadens-Haftpflicht
Machen Mandanten Schadensersatz wegen offengelegter Daten oder verzögerter Abgabefristen geltend: Gothaer prüft, wehrt ab oder reguliert (Teil II AVB).
Was ist auch in der Kanzlei NICHT versichert?
Ausschlüsse aus den AVB Gothaer 216273 — auch für Steuerberater relevant.
Fehlende IT-Mindeststandards
Ohne Firewall, aktuellen Virenschutz, Patches, dokumentierte Backups und Berechtigungsmanagement (Teil VI Ziffer 8.1 AVB) verlieren Sie im Schadenfall den Schutz.
Beratungsfehler aus IT-Ausfall
Falsche Steuererklärung wegen gelöschter Belege ist ein Beratungsfehler und Sache der Vermögensschadenhaftpflicht, nicht der Cyber-Police.
Lösegeld ohne Absprache
Eigenmächtige Kryptozahlung an Erpresser → keine Erstattung durch Gothaer.
Kammer- und berufsrechtliche Sanktionen
Maßnahmen der Steuerberaterkammer oder approbationsrechtliche Konsequenzen sind keine versicherbaren Kosten.
Social Media der Kanzlei
LinkedIn-, Xing- oder Instagram-Auftritte gelten nicht als Computersystem (Teil I Ziffer 3 AVB).
Wiederherstellung nach 12 Monaten
Mandantendaten, die nicht binnen 12 Monaten wiederhergestellt werden, sind nicht mehr erstattungsfähig (Ziffer 3.6.4 AVB).
Für welche Kanzleien besonders sinnvoll
Geeignet für
- Einzelsteuerberater mit eigener Kanzlei-IT
- Steuerberatungs-Gesellschaften und Partnerschaften
- Wirtschaftsprüfer und vereidigte Buchprüfer
- Rechtsanwälte und Fachanwälte für Steuerrecht
- Lohnsteuerhilfevereine mit digitaler Mandatsführung
- Kanzleien mit Cloud-Anbindung (DATEV Cloud, Addison, Kanzlei.Komfort)
Weniger geeignet
- Angestellte Steuerberater (Kanzlei trägt das Risiko)
- Kanzleien, die IT-Mindeststandards nicht laufend erfüllen
- Reine Papierbuchführung ohne digitale Belege oder Mandantendaten
Typische Fehler in Steuerkanzleien
CEO-Fraud wird unterschätzt
Der klassische Angriff: Gefälschte Mail des angeblichen Kanzleiinhabers an die Buchhaltung, „bitte schnell überweisen". Ohne den Baustein Cyber-Betrug (Teil IV Ziffer 3.2 AVB) zahlt niemand die verlorene Summe zurück.
Fake-Mandantenmails mit geänderter IBAN
Manipulierte E-Mail eines bestehenden Mandanten mit angeblich neuer Kontoverbindung. Der Baustein Cyber-Betrug greift — aber nur, wenn vereinbart.
DATEV-Cloud nicht eingeschlossen
Wer DATEV Unternehmen online, Eigenorganisation Comfort, LODAS Cloud oder DATEV-SmartLogin nutzt, muss die ausgegliederte Datenverarbeitung (Teil II Ziffer 7.3) ausdrücklich einschließen lassen — sonst klafft eine Lücke.
Betriebsunterbrechung weggelassen
Während die Kanzlei-IT stillsteht, laufen keine Lohnabrechnungen, keine UStVAs, keine Jahresabschlüsse. Bei mehreren Mitarbeitern kostet ein Tag Ausfall sehr schnell vierstellig — der Baustein Betriebsunterbrechung ist in der Kanzlei Pflicht.
Bedienfehler-Baustein vergessen
Die Buchhaltung klickt auf eine Phishing-Mail. Ohne Bedienfehler-Erweiterung (Teil IV Ziffer 3.3 AVB) prüft Gothaer, ob fahrlässiges Mitarbeiterhandeln vorlag — und kürzt gegebenenfalls.
Berufsgeheimnis-Dimension übersehen
Eine Datenpanne in der Kanzlei ist nicht nur DSGVO-relevant, sondern potenziell auch strafbar nach § 203 StGB und § 57 StBerG. Der Krisenmanager-Baustein hilft, die Kommunikation Richtung Kammer und Mandanten sauber zu steuern.
Schadenfall in der Kanzlei — so läuft es ab
Beispiel: CEO-Fraud — gefälschte Anweisung an die Buchhaltung, 45.000 Euro werden überwiesen.
Mitarbeiter bemerkt die Manipulation nach Rücksprache mit dem Kanzleiinhaber. Sofortige Sperrung aller betroffenen Konten und Zugangsdaten (Schadensminderungspflicht, Teil VI Ziffer 8 AVB).
Anruf bei der Cyber-Hotline der Gothaer (Nummer im Versicherungsschein). 24/7-Erreichbarkeit.
Anzeige bei der Polizei und ggf. bei der zuständigen Staatsanwaltschaft für Cyberkriminalität (ZAC).
Formelle Schadensmeldung in Textform spätestens binnen einer Woche.
IT-Forensiker analysieren, ob die Manipulation über kompromittierte Kanzleimailserver, Phishing oder Social Engineering erfolgt ist.
Rechtliche Prüfung: Anspruch gegen die Bank (Rücknahme nicht autorisierter Überweisungen)? Anspruch gegen den tatsächlichen Empfänger?
Leistung aus dem Baustein Cyber-Betrug (Teil IV Ziffer 3.2 AVB) — wenn vereinbart und die Voraussetzungen erfüllt sind.
Prüfung einer möglichen Meldepflicht: Wurden Mandantendaten gleichzeitig entwendet? Dann DSGVO-Meldung an die Aufsichtsbehörde (72 Stunden).
Meldung an die Steuerberaterkammer, sofern Berufsaufsichtsrelevanz besteht.
Krisenmanager koordiniert Kommunikation — intern wie extern.
Abschlagszahlung möglich ab einem Monat nach Schadenmeldung (Ziffer 3.6.3 AVB).
So läuft die Beratung ab
Anfrage
Sie schildern Kanzleigröße, Mitarbeiterzahl, eingesetzte Software und ob Sie DATEV-Cloud, Addison oder eigene Systeme nutzen.
Analyse
Ich prüfe Ihr Risikoprofil und welche Bausteine (CEO-Fraud, Ransomware, Betriebsunterbrechung) unverzichtbar sind.
Angebot
Sie erhalten ein verständliches Angebot mit Deckungsumfang, Beitrag und klaren Hinweisen auf mögliche Lücken — ohne Verpflichtung.
Häufige Fragen aus Steuerkanzleien
Reicht die Vermögensschadenhaftpflicht für Cyber-Risiken aus?
Nein. Die Vermögensschadenhaftpflicht deckt Beratungsfehler, die zu Vermögensschäden des Mandanten führen. Eigenschäden aus Ransomware, Betriebsunterbrechung oder CEO-Fraud sind dort nicht gedeckt. Die Cyber-Police und die Vermögensschadenhaftpflicht sind komplementär.
Ist DATEV-Cloud automatisch mitversichert?
Nein. DATEV Unternehmen online, DATEV Eigenorganisation Comfort, LODAS Cloud und weitere Cloud-Angebote sind ausgegliederte Datenverarbeitung nach Teil II Ziffer 7.3 AVB und müssen vertraglich ausdrücklich eingeschlossen werden.
Was zahlt die Versicherung bei erfolgreichem CEO-Fraud?
Der optionale Baustein Cyber-Betrug (Teil IV Ziffer 3.2 AVB) deckt finanzielle Eigenschäden aus manipulierten Zahlungsanweisungen, gefälschten Mandanten-Mails oder Identitätstäuschung. Die Voraussetzung ist, dass der Vorfall im Zusammenhang mit einem versicherten Ereignis steht.
Wie ist das Berufsgeheimnis betroffen?
Steuerberater unterliegen § 203 StGB und § 57 StBerG. Ein Datenleck kann neben DSGVO-Folgen auch strafrechtliche und berufsrechtliche Konsequenzen haben. Der Krisenmanager-Baustein und die Anwaltskosten-Abdeckung helfen bei der Kommunikation mit Kammer und Mandanten.
Welche Schadenssummen sind üblich?
Typische Deckungssummen in Steuerkanzleien liegen zwischen 500.000 Euro und 5 Millionen Euro — abhängig von Kanzleigröße, Mandantenstruktur und Cloud-Anteil. Ich empfehle in der Beratung mindestens zwei Varianten zu prüfen und die Sublimits sorgfältig abzugleichen.
Was ist bei Phishing-Mails über DATEV zu beachten?
Gefälschte DATEV-Mails sind ein häufiger Angriffsvektor. Der Baustein Bedienfehler (Teil IV Ziffer 3.3 AVB) deckt fahrlässiges Mitarbeiterhandeln mit ab — ohne diese Erweiterung prüft Gothaer im Schadenfall, ob eine Obliegenheitsverletzung vorliegt.
Cyber-Schutz für Ihre Steuerkanzlei
Ich prüfe mit Ihnen gemeinsam, ob Ihre IT, Ihre DATEV-Anbindung und Ihre Mandantenprozesse sauber gedeckt sind — und wo typische Standardangebote Lücken lassen.
Cyber-Beratung für Steuerberater anfragenSinnvolle Ergänzungen
Alle Leistungen, AVB-Details und Grundlagen der Gothaer Cyber-Versicherung im Überblick.
Übernimmt Anwalts- und Gerichtskosten bei DSGVO-Bußgeldverfahren und IT-Vertragsstreitigkeiten.
Deckt Beratungsfehler — ergänzt die Cyber-Police um das klassische Haftungsrisiko des Steuerberaters.
Die Angaben basieren auf den Allgemeinen Versicherungsbedingungen der Gothaer Cyber-Versicherung (Dokument 216273, Stand AVB 02.2025). Konkrete Leistungen, Sublimits, Selbstbeteiligungen und optionale Bausteine werden im individuellen Versicherungsschein festgehalten. Markus Focht ist gebundener Versicherungsvertreter (§ 34d Abs. 7 GewO) der Barmenia Krankenversicherung AG, Büro in Karlsruhe.