Auftragsverarbeitungs-Vertrag (AVV) – So kommst du DSGVO-konform ans Ziel

Bist du dir sicher, dass alle deine Dienstleister datenschutzkonform arbeiten und du deiner Verantwortung nachkommst? Wenn du zum Beispiel einen Hosting-Anbieter, ein Payment-Tool oder eine Newsletter-Software nutzt, speichern diese in deinem Auftrag Kundendaten oder Website-Logs. Genau hierfür schreibt die DSGVO eine verbindliche Grundlage vor: den Auftragsverarbeitungsvertrag (AVV). In diesem Blogbeitrag zeigen wir dir, wie einfach es ist, einen rechtssicheren AVV abzuschließen – und gebe dir konkrete Tipps, damit du datensicher aufgestellt bist.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag – häufig auch Data Processing Agreement (DPA) genannt – ist eine schriftliche Vereinbarung zwischen dir als Verantwortlichem und deinem Dienstleister, der für dich personenbezogene Daten verarbeitet. Beispiele hierfür sind:

  • Webhosting (deine Website-Daten und Logfiles)
  • Newsletter-Provider (E-Mail-Adressen deiner Abonnenten)
  • Buchhaltungstools oder CRM-Systeme

Warum das wichtig ist?

Du bist im Besitz sensibler Informationen, wenn du Daten von Kunden, Mitarbeitern, Webseitenbesuchern verarbeitest. Für den Schutz dieser Daten bist du verantwortlich. Und zwar auch, wenn jemand anderes in deinem Auftrag Zugriff auf die Daten hat. Das ist Gesetz.

Sobald ein Dienstleister Zugang zu personenbezogenen Daten hat, die du erhoben hast, musst du laut DSGVO (Art. 28) sicherstellen, dass er die Daten nur nach deinen Vorgaben verarbeitet und sie ausreichend schützt. Das alles regelt der AVV.

Wie erkennst du, ob Auftragsverarbeitung vorliegt?

Nicht jeder externe Dienstleister braucht automatisch einen AVV. Hier geht es um Dienstleister, die nach deinen Weisungen personenbezogene Daten verarbeiten und keine eigenen Zwecke verfolgen. Du hast die Hoheit über die Daten, während der Dienstleister nur „verlängerter Arm“ ist.

Zwei Beispiele zur Veranschaulichung:

So könntest du beispielsweise bei deinem Newsletterprovider selbstständig E-Mail-Adressen löschen oder bei der Buchhaltungssoftware bestimmte Personendaten löschen oder hinzufügen. Du hast die volle Weisungshoheit über die Daten. In diesem Fall ist ein Auftragsverarbeitungsvertrag notwendig.

Kauft eine Kundin über den Marktplatz Etsy eine selbstgemachte Tasche in deinem Shop, verarbeitest du ihre Daten (z. B. für den Versand) als Verantwortlicher. Etsy verarbeitet dieselben Daten allerdings auch – und zwar nicht in deinem Auftrag, sondern auf eigene Verantwortung. Denn die Kundin hat ihren Kundenaccount direkt bei Etsy, das die Daten auch für eigene Zwecke nutzt. Du kannst die Daten der Kundin nicht löschen oder bearbeiten. Hier liegt keine Auftragsverarbeitung vor.

Typische Beispiele für eine Auftragsverarbeitung (mit AV-Vertrag)

Newsletter-Dienste (z. B. Brevo/Sendinblue, CleverReach)

  • Du lieferst die E-Mail-Listen (personenbezogene Daten), und der Dienstleister verschickt in deinem Auftrag Newsletter an deine Abonnenten.
  • Entscheidungsgewalt über Inhalt, Empfänger, Zeitplan liegt bei dir, der Anbieter stellt nur die Plattform bereit.

Hosting-Provider / Server-Provider

  • Speichert oder betreibt deine Website(s), Online-Shops oder andere Datenbanken.
  • Handelt nur in deinem Auftrag, hat keine eigenen Zwecke, sondern folgt deiner Konfiguration (z. B. wie lange Logfiles aufbewahrt werden).

Buchhaltung & Lohnbuchhaltung

  • Externe Dienstleister (z. B. Lohnbüro, Buchhaltungssoftware oder Steuerberater) verarbeiten personenbezogene Daten wie Gehälter, Kontodaten oder Rechnungsangaben in deinem Auftrag.
  • Wenn sie nur das tun, was du vorgibst (z. B. Abrechnung, Belegerfassung), ist ein AV-Vertrag nötig.
  • Viele Anbieter (z. B. Lexoffice, sevDesk, DATEV) stellen diesen automatisch bereit.
Hinweis-Icon

Tipp: Wenn dein Steuerberater dich auch steuerlich berät (nicht nur Buchhaltung macht), gilt er meist nicht als Auftragsverarbeiter – dann brauchst du keinen AV-Vertrag, sondern nur den üblichen Mandatsvertrag.

Analytics-/Tracking-Tools (insofern sie nur für dich Daten sammeln)

  • Wenn du ein eigenes „self-hosted“ Analysetool (beispielsweise Matomo) oder einen Dienst nutzt, der ausschließlich in deinem Namen verarbeitet – ohne eigenes Interesse an den Daten.
  • Beispiel: Ein externer Anbieter stellt dir ein Dashboard bereit, du bestimmst den konkreten Einsatzzweck.

Achtung: Viele große Analytics-Lösungen (z. B. Google Analytics) sind eher gemeinsam Verantwortliche oder eigenständige Verantwortliche. Da geht die Rechtslage auseinander. Hier lohnt ein genauer Blick, ob Google tatsächlich „nur“ in deinem Auftrag handelt.

Was Google Analytics konkret ist – Datenverarbeiter oder (Mit-)Verantwortlicher?

Das Thema Google Analytics sorgt seit Jahren für kontroverse Diskussionen unter Datenschutzexpert*innen. Warum? Weil Google technisch in der Lage ist, Daten nicht nur im Auftrag des Websitebetreibers zu erheben und auszuwerten, sondern sie ggf. auch für eigene Zwecke zu nutzen (z. B. zur Produktverbesserung, für Fehleranalysen oder in Verbindung mit anderen Google-Diensten).

Offizielle Darstellung vs. datenschutzrechtliche Bewertung

  • Google selbst bietet dir bei Google Analytics (GA4 oder Universal) eine „Data Processing Amendment“ (also eine Art Auftragsverarbeitungs-Vertrag) an, sodass es so aussieht, als handle Google nur in deinem Auftrag.
  • Datenschutzbehörden in der EU (etwa in Österreich oder Frankreich) haben jedoch Zweifel, ob Google seine Rolle wirklich ausschließlich als Datenverarbeiter (Processor) erfüllt. Denn sobald Google – technisch oder vertraglich – die Möglichkeit hat, Daten für eigene Ziele zu verarbeiten, ist es keine reine Auftragsverarbeitung. In vielen Fällen wird angenommen, dass Google (Mit-)Verantwortlicher (Joint Controller) ist – oder sogar eigener Verantwortlicher, wenn sie ihre Dienste mit anderen Produkten verknüpfen.

Beispiel:

Google könnte die Daten, die du in Analytics erhebst (etwa IP-Adressen, Nutzungsverhalten, Endgerät-Informationen), mit vorhandenen Google-Kontos oder Diensten wie YouTube oder Gmail in Verbindung bringen. Selbst wenn Google sagt, dass IP-Adressen anonymisiert und nur aggregierte Daten verwendet werden, bleibt die technische Möglichkeit bestehen, Nutzerprofile quer über verschiedene Google-Dienste hinweg zu erstellen.

Wie Google die gesammelten Daten nutzt

  • Verbesserung der eigenen Produkte: Google analysiert, wie Besucher Websites und Apps verwenden, um die Funktionalität von Google Analytics zu optimieren.
  • Fehleranalyse und Performance: Log-Daten können genutzt werden, um Ausfälle oder Lastprobleme zu erkennen und zu beheben – das ist durchaus noch in deinem Interesse als Websitebetreiber, aber eben auch Googles eigenes Interesse an stabilen Diensten.
  • (Potenzielle) Verknüpfung mit Werbe- und Profildiensten: Bei „Google Ads“ oder dem „Google Marketing Platform“-Kosmos gibt es viele Berührungspunkte mit Analytics. Hier entstehen komplexe Datenflüsse, bei denen Google möglicherweise selbst entscheidet, wie Daten verarbeitet werden.

Die rechtliche Konsequenz

  • Bei reiner Auftragsverarbeitung (Art. 28 DSGVO) hättest du volle Weisungsbefugnis, was Google mit den Daten tun darf und was nicht. In der Praxis kannst du zwar einige Einstellungen vornehmen (z. B. IP-Anonymisierung, Datennutzung für Werbezwecke deaktivieren), aber Google bleibt nicht 100 % weisungsgebunden.
  • Gemeinsame Verantwortung (Art. 26 DSGVO) käme in Betracht, wenn du und Google gemeinsam über Mittel und Zwecke entscheiden. Das ist allerdings schwer greifbar, weil du als Websitebetreiber kaum echten Einfluss auf Googles globale Datenverarbeitung hast.
  • Eigenverantwortung (Controller) von Google wäre anzunehmen, wenn Google die gesammelten Daten für eigene Zwecke verwendet, auf die du kein Mitspracherecht hast.

In der Praxis

  • Viele Websitebetreiber gehen den Weg, dass sie einen „Data Processing Amendment“ mit Google abschließen und hoffen, damit auf der sicheren Seite zu sein.
  • Datenschutzbehörden bleiben aber skeptisch, vor allem, wenn personenbezogene Daten in die USA übertragen werden (z. B. IP-Adressen, Nutzer-ID). Nach dem Schrems IIUrteil ist ein angemessenes Datenschutzniveau außerhalb der EU nicht garantiert. Daher kann es sein, dass schon die Datenübermittlung in die USA als rechtswidrig eingestuft wird, egal ob Google „nur“ Auftragsverarbeiter ist oder nicht.

Fazit:

  • Formal stellt Google dir einen Vertrag zur Auftragsverarbeitung bereit, sodass du es oberflächlich als Datenverarbeiter einordnen kannst.
  • De facto sprechen mehrere Anhaltspunkte dafür, dass Google nicht nur deine Weisungen ausführt, sondern auch eigene Zwecke verfolgt – was eher für eine (gemeinsame) Verantwortlichkeit spricht.
  • Willst du 100 % DSGVO-konform agieren, solltest du mindestens alle datenschutzrechtlichen Vorkehrungen für Google Analytics treffen (IP-Anonymisierung, Einwilligungsbanner, Datenübermittlung in Drittstaaten prüfen) und im Zweifelsfall eine Alternative in Betracht ziehen. Wir empfehlen Matomo On-Premise bei der klar ist, dass du allein Herr über die Daten bist.

Hinweis: Die Lage kann sich jederzeit ändern, wenn Google seine Praktiken anpasst oder der EU-US-Datenschutzrahmen neue Wege schafft. Aktuell (Stand 2025) bleibt die Rechtssicherheit bei Google Analytics ein Zankapfel unter Datenschutzexperten. Wenn du unsicher bist, lohnt sich eine genauere Prüfung mit Blick auf deine spezifische Konfiguration – oder der Wechsel zu Hosting-basierten Analyse-Lösungen, bei denen du deutlich mehr Kontrolle hast.

Cloud-Speicher / Online-Dokumentenverwaltung

  • Z. B. Dropbox Business, OneDrive oder Google Workspace, sofern sie wirklich nur deine Daten hosten und nicht zu eigenen Marketingzwecken nutzen.
  • Üblicherweise bieten diese Dienste einen AV-Vertrag (Data Processing Addendum) an.

Agenturen, Webdesigner oder Virtual Assistants

wenn sie intern auf deine Daten zugreifen

  • Beispiel: Eine Agentur, die deine Kundendaten in einem CRM pflegt und Newsletter-Rundmails für dich erstellt. Solange diese Agentur in deinem Auftrag ohne eigene Datenhoheit arbeitet, braucht ihr einen AV-Vertrag.

CRM-Systeme (z. B. HubSpot, Pipedrive, Salesforce)

  • Du gibst Leads und Kundendaten ein, das CRM verarbeitet sie nur in deinem Auftrag und nach deinen Vorgaben.
  • Die meisten renommierten Anbieter haben fertige AV-Verträge im Admin-Bereich.

Bewertungs-Widgets, wenn sie nur deine Daten hosten

  • Beispielsweise ein Dienst, bei dem du Kundendaten hochlädst (Name, E-Mail), um Bewertungseinladungen zu verschicken. Handelt der Anbieter vollständig in deinem Auftrag, ist er Auftragsverarbeiter.
  • Aber Vorsicht: Manche Bewertungsportale (z. B. Google Reviews, Trustpilot) agieren auch eigenständig als Verantwortliche (siehe weiter unten).
Hinweis-Icon

Tipp: Weniger ist mehr – auch bei Daten.

Nach dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) darfst du übrigens nur die personenbezogenen Daten erfassen, die du wirklich brauchst. Alles darüber hinaus ist nicht nur unnötig, sondern auch rechtlich heikel. Prüfe also bei jedem Formular: Brauche ich diese Information wirklich?
So ist beispielsweise die Abfrage einer Adresse im Bestellprozess für digitale Produkte (wie etwa ein E-Book mit Strickanleitung) oft nicht erforderlich – insbesondere, wenn kein physischer Versand erfolgt und keine umsatzsteuerlich relevante Rechnung mit vollständiger Anschrift ausgestellt werden muss. In solchen Fällen solltest du prüfen, ob die Adressabfrage wirklich notwendig ist – oder ob du sie freiwillig und transparent gestaltest.

Typische Beispiele für keine Auftragsverarbeitung

In diesen Fällen brauchst du in der Regel keinen AVV

Dein Dienstleister trifft eigene Entscheidungen über den Zweck und die Mittel der Datenverarbeitung oder verfolgt eigene rechtliche Interessen – du hast keine (oder nur sehr beschränkte) Weisungsbefugnis:

Zahlungsdienstleister (z. B. PayPal, Klarna, Stripe als PSP, Amazon Pay)

  • Häufig kein AV-Verhältnis, da sie eigene Zwecke haben (z. B. Betrugsprävention, Bonitätsprüfungen), eigenverantwortlich Daten speichern und über die Abwicklung entscheiden.
  • Als Händler kannst du PayPal & Co. beispielsweise nicht vorschreiben, von welchem Zahlungsmittel die Kosten eingezogen werden oder ob und wie sie Bonitätsdaten einholen. Es fehlt also die „Weisungsgebundenheit“.
  • In diesem Fall handelt der Zahlungsdienstleister meist als eigener Verantwortlicher (oder ggf. gemeinsam Verantwortlicher), nicht als Auftragsverarbeiter.

Dropshipping-Anbieter (Eigenverantwortung beim Versand)

  • Wenn du Bestellungen lediglich weiterleitest, damit der Dropshipper verpackt und liefert, ist dieser in der Regel eigener Verantwortlicher für die Datenverarbeitung beim Versand.
  • Das Gleiche kann für Fulfillment-Dienstleister gelten, die selbst entscheiden, wie sie Adressdaten verarbeiten.

Versanddienstleister (z. B. DHL, Hermes, UPS)

  • Grundsätzlich keine Auftragsverarbeitung, weil DHL & Co. eigene Pflichten, Prozesse und Zwecke (Sendungsverfolgung, Transportlogistik) haben.
  • Du kannst ihnen nicht vorschreiben, wie sie z. B. Trackinginformationen verarbeiten; sie handeln nicht bloß nach deinen Weisungen.

Banken, Steuerberater, Versicherungen

  • Ebenfalls eigene Verantwortliche oder aufgrund von Berufsrecht an gesonderte Verpflichtungen gebunden.
  • Du kannst ihnen nicht vorgeben, wie sie Daten verarbeiten oder aufbewahren.

Bewertungsportale (z. B. Google Reviews, Trustpilot, Kununu)

  • Meist kein Auftragsverhältnis, da die Portale Nutzerbewertungen veröffentlichen und selbst entscheiden, wie sie Daten moderieren oder anonymisieren.
  • Sie handeln als eigene Verantwortliche oder gemeinsam Verantwortliche. Ein AV-Vertrag ist normalerweise nicht nötig.

Marktplätze (z. B. Etsy, eBay, Amazon)

  • Auch hier hat die Plattform eigene Interessen (Käuferschutz, Bonitätsprüfungen, Analytics etc.).
  • Als Händler lieferst du zwar Daten (Bestellinfos, Produktbeschreibungen), aber der Marktplatz entscheidet selbst, welche Daten er abfragt und wie er sie verarbeitet. Das ist keine reine weisungsabhängige Datenverarbeitung.

Social Media-Plattformen (z. B. Facebook, Instagram, TikTok)

  • Sie nutzen Daten ihrer User u. a. für eigene Zwecke (Personalisierung, Werbung etc.). Du kannst nicht die alleinige Verwendung „anweisen“.
  • D. h. kein AV-Vertrag, sondern eher gemeinsame Verantwortung oder eigenständige Verantwortung der Plattform.

Apropos Social Media... Hier brauchst du zwar keinen AVV. Verbraucherschutzrechte und die DSGVO musst du natürlich trotzdem beachten. In diesem Artikel erklären wir dir alles, was du brauchst, um rechtssicher auf Social Media unterwegs zu sein.

Sonderfälle & Tipps

Payment-Tools vs. Payment-Plugin

Wenn du ein Plugin nutzt, das z. B. die Kreditkartendaten nur auf deiner Seite zwischenpuffert, kann es sein, dass dein Plugin-Entwickler als (Unter-)Auftragsverarbeiter agiert. Sprich das am besten direkt mit dem Pluginanbieter durch. Oft hosten sie gar keine Daten, sondern leiten nur an den PSP (Payment Service Provider) weiter.

Fulfillment-Unternehmen

Manche Fulfillment-Dienstleister arbeiten streng nach deinen Vorgaben (z. B. Lagerhaltung, Versand – alles rein „White Label“). Ob das schon AV-Verhältnis ist, muss man im Einzelfall klären. Häufig haben Fulfillment-Dienstleister eigene Prozesse, so dass sie eher Mit-Verantwortliche sind.

Externe Kundensupport-Dienstleister

Wenn ein Support-Callcenter oder Chatdienst direkt in deinem Namen Kundendaten erhebt, handelt es sich oft um Auftragsverarbeitung (du bestimmst Inhalt, Abläufe).

Kooperationen mit anderen Händlern

Falls du Daten austauschst (z. B. E-Mail-Listen) für gemeinsame Kampagnen, seid ihr meist gemeinsam Verantwortliche oder beide eigenständig Verantwortliche. Ein AV-Vertrag ergibt nur Sinn, wenn der andere Händler Daten ausschließlich in deinem Auftrag nutzt, was selten der Fall ist.

So findest du im Zweifel die richtige Einordnung

Frag dich: „Kann ich dem Dienstleister wirklich Weisungen geben, was er wann, wie und warum mit meinen Kundendaten tut?“

Oder anders gefragt: „Kann ich vom Auftragnehmer verlangen, dass die Daten, die er für mich verarbeitet, von ihm vollständig gelöscht werden?“

Falls jaAuftragsverarbeitung (AV-Vertrag nötig).

Falls nein → eigenständige Verantwortlichkeit des Anbieters.

Check die AGB & Datenschutzerklärung des Dienstleisters

Viele Anbieter erklären bereits, ob sie als „Controller“ (eigener Verantwortlicher) oder als „Processor“ (Verarbeiter) auftreten.

Lieber einmal zu viel nachfragen, ob ein DPA/AV-Vertrag existiert, als später ein Bußgeld zu riskieren, weil es tatsächlich Auftragsverarbeitung war.

So kommst du an deinen AVV – Schritt-für-Schritt

Schritt 1: Check, wer deine Daten verarbeitet

Mache eine Liste aller Dienste, die in irgendeiner Form Kundendaten, Nutzerlogs oder andere persönliche Informationen deiner Website-Besucher verarbeiten. Dazu zählen beispielsweise Brevo, Lexware, Fastbill, etracker, userlike und viele weitere.

Schritt 2: AVV vom Anbieter holen

Die meisten seriösen Services stellen einen fertigen Auftragsverarbeitungsvertrag (englisch: Data Processing Agreement) bereit, oft in deinem Account-Bereich oder per Download. Wenn du diese nicht findest, wende dich an den Support – gerade europäische und DSGVO-orientierte Anbieter kennen das Prozedere gut.

Schritt 3: Prüfe die Inhalte

In einem korrekten AVV sollten u. a. folgende Punkte klar geregelt sein:

  • Gegenstand und Dauer der Verarbeitung (z. B. Webhosting für deine Firmenwebsite)
  • Umfang, Art und Zweck (Speicherung, E-Mail-Versand, Wartung)
  • Kategorien von Daten und betroffenen Personen (z. B. Kundendaten, Interessent*innen)
  • Technische und organisatorische Schutzmaßnahmen (z. B. Verschlüsselung, Zugriffsbeschränkungen)
  • Weisungsrecht: Du als Verantwortlicher kannst dem Dienstleister Anweisungen geben, was mit den Daten passiert.
  • Unterauftragsverhältnisse: Darf dein Dienstleister weitere Sub-Dienstleister beauftragen?
  • Regelungen zu den Vertraulichkeitspflichten von Beschäftigten des Auftragsverarbeiters
  • Regelungen zur Unterstützung des Auftraggebers (dir) bei der Geltendmachung von Rechten der betroffenen Personen
  • Regelungen zu deinen Kontrollrechten gegenüber dem Auftragsverarbeiter
  • Regelungen zu Informationspflichten des Auftragsverarbeiters dir gegenüber bei Datenschutzverstößen
  • Regelungen zur Rückgabe und Löschung der verarbeiteten Daten bei Auftragsbeendigung

Schritt 4: Elektronisch oder schriftlich unterschreiben

Du kannst den AVV in klassischer Papierform abschließen oder ihn online signieren. In vielen Tools gibt es ein „Clickwrap-Verfahren“, bei dem du per Klick bestätigst, die AVV zu akzeptieren. Das ist DSGVO-konform und ersetzt die handschriftliche Unterschrift.

Schritt 5: Dokumentieren und aufbewahren

Speichere den unterzeichneten AVV (digital oder ausgedruckt) und notiere, wann du ihn abgeschlossen hast. So bist du im Falle einer Datenschutzprüfung gerüstet und kannst zeigen, dass du dich um ein rechtskonformes Vorgehen kümmerst.

Dokumentiere in einer Liste, welche deiner beauftragten Anbieter eigene Interessen oder Entscheidungshoheit haben. Notiere, dass sie eigenständig verantwortlich sind.

Laufende Kontrolle: Keine Einmal-Aktion

Die DSGVO verpflichtet dich, deine Auftragsverarbeiter im Blick zu behalten. Das heißt nicht, dass du wöchentliche Audits machen musst. Aber informiere dich, wenn dein Anbieter Subunternehmer wechselt oder grundlegende Änderungen vornimmt. Meist wirst du per E-Mail benachrichtigt und kannst zustimmen oder widersprechen. Spätestens alle paar Monate lohnt es sich, einen kleinen DSGVO-Check zu machen:

  • Passt der AVV noch zu deinem tatsächlichen Datenvolumen und Zweck?
  • Hast du neue Dienstleister eingebunden, für die du noch keinen AVV hast?

Fazit: AVV – Kleine Formalie mit großer Wirkung

Damit du dein Business rechtssicher aufstellst, solltest du genau prüfen, wer nur Daten in deinem Auftrag verarbeitet – und wer eigene Interessen oder Entscheidungshoheit hat. Für Letztere brauchst du keinen AV-Vertrag, sondern dokumentierst nur, dass sie eigenständig verantwortlich sind.

Gut zu wissen: Wenn du unsicher bist, lohnt sich ein kurzer Check bei deinem Dienstleister selbst – viele haben inzwischen klare FAQs und Vorlagen.

Du willst dein Business rechtlich absichern – ohne Jurastudium?

Dann bist du bei uns richtig. Wir von onwalt.de versorgen dich mit fundierten Rechtstipps für dein Online-Business und stellen dir rechtssichere, praxiserprobte AGB, Datenschutzerklärungen und weitere Rechtstexte bereit – speziell für Onlinehändler und Plattform-Verkäufer.

So sparst du Zeit, vermeidest Abmahnrisiken – und kannst dich auf das konzentrieren, was wirklich zählt: dein Geschäft. 👉 Jetzt passende Rechtstexte entdecken

Häufige Fragen

Das hängt vom Bundesland ab. Manche Aufsichtsbehörden prüfen verstärkt bestimmte Branchen. Grundsätzlich gilt: Wer im Falle einer Prüfung die abgeschlossenen AVVs vorlegen kann, ist deutlich entspannter.

Meistens nein, weil Steuerberater – genauso wie Banken oder Rechtsanwälte – ihre eigene Verantwortung haben und nicht nur in deinem Auftrag, sondern auf gesetzlicher Grundlage handeln. Eine kurze Rücksprache lohnt sich aber bei besonders sensiblen Daten.