ChatGPT im Förderantrag: Warum es § 203 StGB verletzt

Der Satz fällt in Kanzleien, Steuerberatungen und Wirtschaftsprüfer-Büros inzwischen routinemäßig: „Das lass ich kurz ChatGPT formulieren." Was bei einem Pitchdeck oder einer generischen E-Mail harmlos wirkt, ist bei einem Förderantrag im deutschen oder europäischen Forschungs- und Innovationsfördermanagement kein Effizienzthema, sondern ein Straftatbestand. Förderanträge enthalten regelmäßig Mandats-, Projekt- und Finanzdaten, die unter den Schutz von § 203 StGB fallen^[1]. Wer sie in ein öffentlich betriebenes Sprachmodell eingibt, erfüllt — nach der Festlegung der Datenschutzkonferenz (DSK) vom Mai 2024 — tatbestandlich das „Offenbaren" eines fremden Geheimnisses^[2].

Dieser Artikel zerlegt die Rechtslage Schritt für Schritt: Wer ist überhaupt verpflichtet, welche Handlung verbietet § 203 StGB konkret, was hat die DSK 2024 festgehalten, wie bewegen sich Daten durch die OpenAI-Infrastruktur, und welche Konstellationen bleiben rechtlich praktikabel. Zielgruppe: Berufsgeheimnisträger, die Förderanträge verfassen, prüfen oder freigeben.

Wer ist berufsrechtlich zur Verschwiegenheit verpflichtet

§ 203 Abs. 1 StGB zählt die schweigepflichtigen Berufsgruppen abschließend auf. Relevant für die Förderpraxis sind insbesondere Rechtsanwältinnen und Rechtsanwälte (Nr. 3), Patentanwältinnen und Patentanwälte (Nr. 3), Steuerberaterinnen und Steuerberater (Nr. 3) sowie Wirtschaftsprüferinnen und Wirtschaftsprüfer (Nr. 3)^[1]. Diese Gruppen werden im Tatbestand gemeinsam als sogenannte „geborene" Geheimnisträger geführt. Ihre Schweigepflicht entsteht nicht durch Vereinbarung, sondern kraft Gesetzes — sobald das Mandat begründet wird.

Die Pflicht ist nicht auf die namentlich genannten Berufsträger beschränkt. § 203 Abs. 4 StGB zieht seit der Neufassung vom 30. Oktober 2017 auch „mitwirkende Personen" und externe Dienstleister in den Tatbestand hinein^[12]. Eine Assistenzkraft, ein Steuerfachangestellter, ein IT-Dienstleister oder eine Cloud-Plattform, die im Rahmen der Mandatsbearbeitung Zugriff auf Mandantendaten erhält, ist strafrechtlich einbezogen, sobald sie in den Arbeitsprozess des Geheimnisträgers eingebunden wird. Der Gesetzgeber hat damit ausdrücklich die Konstellation der technischen Auslagerung adressiert — und eben nicht für zulässig erklärt, sondern unter die gleichen Pflichten gestellt.

Die Berufskammern haben diese Verschärfung in ihren Hinweisen aufgenommen. Die Bundesrechtsanwaltskammer hält in ihrem Leitfaden zum KI-Einsatz (Stand 12/2024) fest, dass jede Form externer KI-Nutzung durch Rechtsanwälte eine Einbindung der mitwirkenden Dienstleister nach § 203 Abs. 3 S. 2 StGB erfordert und folglich vertraglich, technisch und organisatorisch abzusichern ist^[7]. Die Bundessteuerberaterkammer und die Wirtschaftsprüferkammer verweisen in ihren berufsrechtlichen Hinweisen auf denselben Rahmen^[8][9].

Was § 203 StGB konkret verbietet

Der Tatbestand lautet im Kern:

Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als […] Rechtsanwalt, Patentanwalt, […] Steuerberater, Wirtschaftsprüfer […] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (§ 203 Abs. 1 StGB)^[1]

Vier Tatbestandsmerkmale sind für die KI-Frage entscheidend. Erstens das fremde Geheimnis: geschützt ist jede Information, die nicht offenkundig ist und an deren Geheimhaltung der Betroffene ein erkennbares Interesse hat. Das umfasst den Projektinhalt eines Förderantrags, die Kostenplanung, das Konsortialgefüge, die Finanzierungsstruktur des Unternehmens, personenbezogene Forschungsarbeit — praktisch alles, was in einem Antrag zusammenläuft. Zweitens das Anvertrauen oder Bekanntwerden: der Schutz greift, sobald die Information im Rahmen des Mandats zur Kenntnis gelangt, unabhängig davon, ob der Mandant sie ausdrücklich als vertraulich markiert hat.

Drittens das Offenbaren: ausreichend ist jede Handlung, durch die ein Dritter die Möglichkeit erhält, vom Geheimnis Kenntnis zu nehmen. Die herrschende Meinung in Rechtsprechung und Literatur verlangt gerade nicht, dass der Dritte die Information tatsächlich zur Kenntnis nimmt; das Ermöglichen genügt. Viertens das Unbefugte: die Offenbarung ist unbefugt, solange keine Einwilligung des Betroffenen, keine gesetzliche Erlaubnis und keine wirksame Einbindung des Dritten nach § 203 Abs. 3 S. 2 StGB vorliegt.

Der Bundesgerichtshof hat die Linie bei Weitergabe mandatsbezogener Daten früh präzisiert. In seinem Urteil vom 11. November 2004 zur Abtretung anwaltlicher Honorarforderungen (IX ZR 240/03) hat der IX. Zivilsenat festgehalten, dass die Weitergabe mandatsbezogener Informationen an einen Dritten ohne Einwilligung des Mandanten den objektiven Tatbestand des § 203 Abs. 1 Nr. 3 StGB erfüllt und die entsprechende Abtretung nach § 134 BGB nichtig ist, weil die Offenbarung der zur Durchsetzung notwendigen Informationen unbefugt erfolgt^[4]. Die Entscheidung ist die Referenz für jede Form technischer oder organisatorischer Auslagerung, inklusive Cloud- und KI-Dienste: Ohne Einwilligung oder berufsrechtlich vorgesehene Einbindung ist die Weitergabe tatbestandlich.

Strafbar macht sich im Übrigen nicht nur, wer selbst die Eingabe vornimmt. Wer innerhalb einer Kanzlei oder Steuerberatung den Einsatz eines nicht eingebundenen KI-Dienstes anordnet, duldet oder trotz Kenntnis nicht unterbindet, kommt täterschaftlich oder als Teilnehmer in Betracht. Berufsrechtlich trifft die Organisationsverantwortung die Kanzlei- oder Kanzleileitungsebene zusätzlich unabhängig von der individuellen Handlung. Der Tatbestand ist ein echtes Sonderdelikt — strafbar ist nur, wer selbst Geheimnisträger ist — die Einbeziehung nach Abs. 4 und die Teilnahmeregeln der §§ 26, 27 StGB erweitern den Kreis der erfassten Personen jedoch spürbar.

Die DSK-Festlegung 2024 zu KI-Chatbots

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder — kurz DSK — hat am 6. Mai 2024 die „Orientierungshilfe Künstliche Intelligenz und Datenschutz" in Version 1.0 veröffentlicht^[2]. Das Dokument ist keine Rechtsquelle im formellen Sinne, bündelt aber die gemeinsame aufsichtsbehördliche Auslegung aller Landesdatenschutzbeauftragten und des BfDI und hat entsprechenden Wirkungsdruck: Wer sich nicht an die dort beschriebenen Vorgaben hält, muss mit einer aufsichtsbehördlichen Prüfung rechnen.

Für die KI-Nutzung durch Berufsgeheimnisträger sind vier Kernaussagen zentral. Erstens stuft die DSK öffentlich zugängliche KI-Chatbots, deren Anbieter die Eingaben zur Modellverbesserung verwenden dürfen, grundsätzlich als datenschutzrechtlich unzulässig für die Verarbeitung personenbezogener oder geheimhaltungspflichtiger Daten ein. Zweitens betont die DSK, dass der Einsatz eines KI-Anbieters regelmäßig eine Auftragsverarbeitung nach Art. 28 DSGVO darstellt — und zwar unabhängig davon, ob der Anbieter diese Rolle vertraglich akzeptiert. Ohne wirksamen AV-Vertrag ist die Nutzung bereits datenschutzrechtlich rechtswidrig, noch bevor die Strafnorm greift^[11].

Drittens adressiert die DSK ausdrücklich die Drittlandproblematik: wird die Verarbeitung außerhalb der EU durchgeführt — was bei US-Anbietern der Regelfall ist — ist Kapitel V der DSGVO (Art. 44 ff.) einschlägig. Ein Angemessenheitsbeschluss (aktuell EU-US Data Privacy Framework) oder Standardvertragsklauseln mit ergänzenden Maßnahmen sind Voraussetzung. Viertens hält die DSK fest, dass Berufsgeheimnisträger zusätzlich die strafbewehrte Pflicht aus § 203 StGB einhalten müssen, und weist ausdrücklich auf § 203 Abs. 3 S. 2 StGB als Mindestanforderung für die Einbindung von KI-Dienstleistern hin^[2].

Parallel dazu hat der Bundesbeauftragte für den Datenschutz (BfDI) in seinem Positionspapier zur KI-Standardisierung denselben Grundsatz bekräftigt: Cloud-basierte KI-Systeme verlagern Verarbeitungsrisiken auf den Verantwortlichen, die sich nicht durch die Nutzungsbedingungen des Anbieters entkräften lassen^[3]. Die Beweislast dafür, dass keine unzulässige Offenbarung stattgefunden hat, liegt beim Berufsgeheimnisträger.

ChatGPT-Datenfluss und OpenAI-ToS

Um zu verstehen, warum die DSK-Linie ChatGPT in der Standardkonfiguration ausschließt, ist ein Blick auf den tatsächlichen Datenfluss und die vertraglichen Rahmen notwendig. ChatGPT wird von OpenAI in drei Produkt-Varianten angeboten, die datenschutzrechtlich unterschiedlich zu bewerten sind: die kostenlose und Plus-Variante (Consumer), ChatGPT Team und Enterprise (Business) sowie der direkte API-Zugriff.

Nach den aktuellen OpenAI Business Terms werden Eingaben von Team- und Enterprise-Kunden sowie über die API grundsätzlich nicht zum Training verwendet; für Consumer-Accounts gilt diese Ausnahme nicht automatisch, sondern nur bei manuellem Opt-out^[6]. Alle Varianten teilen sich jedoch zwei strukturelle Eigenschaften: die Verarbeitung findet in der Infrastruktur von OpenAI statt, die Server-Standorte sind je nach Produkt unterschiedlich konfiguriert, und OpenAI unterliegt als US-amerikanisches Unternehmen grundsätzlich US-Zugriffsgesetzen.

OpenAI bietet ein Data Processing Addendum (EU-DPA) an, das für Business- und API-Kunden elektronisch abgeschlossen werden kann^[5]. Das EU-DPA integriert Standardvertragsklauseln nach Art. 46 DSGVO und weist OpenAI Ireland Ltd. als Vertragspartner aus. Damit ist formal ein Auftragsverarbeitungsvertrag möglich. Was das EU-DPA nicht leistet: es ersetzt nicht die Einbindung nach § 203 Abs. 3 S. 2 StGB. Der Auftragsverarbeitungsvertrag nach DSGVO und die strafrechtliche Einbindung der mitwirkenden Person sind zwei getrennte Rechtsakte. Ein DSGVO-konformer Vertrag allein berechtigt einen Steuerberater nicht, Mandantendaten weiterzuleiten.

Hinzu kommt der AI Act. Die Verordnung (EU) 2024/1689 stuft generative Modelle wie GPT-4 als „General-Purpose AI Models" ein und verpflichtet die Anbieter zu Transparenz, Dokumentation und Risikobewertung (Art. 52 ff.)^[10]. Für den Einsatz in sensiblen Kontexten — und dazu gehören Förderanträge mit Finanz-, Forschungs- und Personaldaten — verschärfen sich die Anforderungen an den Verantwortlichen weiter. Die Anbieterpflichten nehmen die Nutzer nicht aus der Verantwortung; sie verlagern sie.

Praktisch bedeutet das: selbst ChatGPT Enterprise mit EU-DPA und europäischer Datenregion erfüllt aus sich heraus nicht die Anforderungen des § 203 StGB. Es erfüllt sie erst dann, wenn zusätzlich eine schriftliche Einbindung des Anbieters nach § 203 Abs. 3 S. 2 StGB vorliegt, die Einwilligung des Mandanten eingeholt und dokumentiert wurde oder — praktisch kaum herzustellen — die Eingaben so weit anonymisiert sind, dass kein Rückschluss auf die schutzwürdige Information mehr möglich ist. Die Consumer-Variante ist unter keiner Konstellation freigezeichnet.

Beispielkonstellation: Förderantrag durch Steuerberater

Um die Kette sichtbar zu machen, durchlaufen wir eine alltägliche Situation: ein Steuerberater bearbeitet für eine mittelständische Mandantin einen Antrag auf die Forschungszulage nach § 7 FZulG. Die Mandantin hat ihm das Projektkonzept, die Kostenaufstellung, die Personalplanung und den Bezug zu einem laufenden EU-Horizon- Europe-Vorhaben übermittelt. Um den Projektbeschreibungs-Teil zu strukturieren, kopiert der Steuerberater fünf Absätze in ChatGPT — in die Plus-Version, nicht in die Business-Variante. Die Anweisung lautet: „Formuliere das für einen Förderantrag präziser."

Aus Sicht des Tatbestands liegen damit alle Merkmale des § 203 Abs. 1 Nr. 3 StGB vor. Das fremde Geheimnis: das Forschungsvorhaben, die Kostenstruktur, die Personenidentität der beteiligten Mitarbeitenden. Das Anvertraute: sämtliche Informationen sind dem Steuerberater im Rahmen des Mandats bekannt geworden. Das Offenbaren: durch Eingabe in ChatGPT erhält OpenAI als Dritter die technische Möglichkeit, die Daten zur Kenntnis zu nehmen — und tut dies bei der Consumer-Variante vertraglich auch, sofern kein Opt-out gesetzt wurde. Das Unbefugte: weder liegt eine Einwilligung der Mandantin vor, noch eine Einbindung nach § 203 Abs. 3 S. 2 StGB, noch ein Rechtfertigungsgrund.

Die Konsequenzen sind mehrspurig. Strafrechtlich droht Freiheitsstrafe bis zu einem Jahr oder Geldstrafe; bei gewerbsmäßiger Begehung oder Bereicherungsabsicht sind es bis zu zwei Jahre^[1]. Berufsrechtlich kommt eine Rüge oder ein Verweis durch die zuständige Steuerberaterkammer in Betracht, bei Wiederholung eine Geldbuße bis 50.000 Euro oder das Ausschlussverfahren. Zivilrechtlich entsteht ein Schadensersatzanspruch der Mandantin; bei Veröffentlichung des Förderantrags durch einen Wettbewerber oder Verlust der Förderzusage wegen Offenbarung können die Schadenspositionen die Honorarsumme um ein Vielfaches übersteigen. Datenschutzrechtlich drohen Bußgelder nach Art. 83 DSGVO^[11].

Besonders heikel wird der Sachverhalt, sobald die Mandantin im Rahmen eines späteren Audits oder eines Streitfalls mit dem Zuwendungsgeber darlegen muss, wie ihr Antragsdossier entstanden ist. Förderbehörden wie das BSFZ, die AiF, die BLE oder die Kommissionsdienste verlangen in Prüfverfahren die Nachvollziehbarkeit der Antragsbearbeitung. Wird dort offenkundig, dass Teile über einen nicht eingebundenen KI-Dienst gelaufen sind, reicht der Vorgang potenziell an mehrere Ebenen gleichzeitig: strafrechtlich gegen den Berater, verwaltungsrechtlich gegen die Mandantin (Mitwirkungspflicht, fehlende Transparenz), zivilrechtlich gegen den Berater auf Haftung.

Die Beweislast kehrt sich in der Praxis schnell um. § 203 StGB ist Offizialdelikt, sobald das Geheimnis beruflich anvertraut wurde; die Ermittlungsbehörden müssen nicht auf eine Strafanzeige der Mandantin warten, wenn der Sachverhalt im Rahmen einer Förderprüfung oder eines Bußgeldverfahrens gegen den Berater auftaucht. Hinzu kommt, dass in der Antragsbearbeitung häufig Daten von mehreren Mandanten parallel anfallen — Konsortialpartner, Zulieferer, Universitäten. Jede einzelne Eingabe, die Informationen aus einem fremden Mandat berührt, stellt eine eigenständige tatbestandliche Handlung dar. Die Strafnorm kennt keine Mengenrabatte.

Was rechtskonform möglich ist

Die Rechtslage verbietet keineswegs jede KI-Nutzung. Sie verlangt eine saubere vertragliche, technische und prozessuale Einbindung. Für Berufsgeheimnisträger, die Förderanträge bearbeiten, haben sich vier Konstellationen als tragfähig erwiesen.

Erstens: Einwilligung. Der Mandant erteilt schriftlich und informiert die Einwilligung in die KI-gestützte Bearbeitung, einschließlich Benennung des konkreten Anbieters, des Verarbeitungszwecks, der Datenarten und des Drittlandbezugs. Muster-Formulierungen der BRAK und der BStBK setzen voraus, dass die Einwilligung frei, spezifisch und widerruflich ist^[7][8]. Eine pauschale Klausel in den AGB der Kanzlei genügt nicht. Für sensible Konstellationen, etwa Verteidigungs- oder Dual-Use-Förderung, wird eine Einwilligung häufig nicht erteilt werden.

Zweitens: Einbindung nach § 203 Abs. 3 S. 2 StGB. Der KI-Anbieter wird durch schriftliche Vereinbarung in den Kreis der mitwirkenden Personen aufgenommen, zur Verschwiegenheit verpflichtet und durch organisatorische Maßnahmen auf das für die Leistungserbringung erforderliche Maß beschränkt. Die Mitwirkenden sind dann ihrerseits nach § 203 Abs. 4 StGB strafbewehrt. OpenAI bietet dafür in der Praxis keinen direkten Vertragsbaustein an; die Einbindung muss dann über den Auftragsverarbeiter als Zwischenlayer konstruiert werden, was nur in kuratierten Plattformumgebungen praktikabel ist^[12].

Drittens: On-Premises- oder EU-gehostete Modelle mit Auftragsverarbeitung. Der Einsatz von Open-Weight-Modellen in einer vom Verantwortlichen kontrollierten Umgebung — beispielsweise auf deutscher Cloud-Infrastruktur mit Azure-German-Region, GWDG oder auf dedizierter On-Premises-Hardware — reduziert das Drittlandproblem und erleichtert die Einbindung des Hosters nach § 203 Abs. 3 S. 2 StGB. In dieser Konstellation lässt sich die Einhaltung der DSK-Vorgaben und der AI-Act-Anforderungen deutlich glaubhafter dokumentieren^[2][10].

Viertens: Anonymisierung vor Eingabe. Solange die Eingabe keine personenbezogenen oder mandatsspezifisch identifizierbaren Informationen mehr enthält, greift § 203 StGB tatbestandlich nicht, weil kein fremdes Geheimnis offenbart wird. Die Schwelle ist in Förderanträgen allerdings hoch: Projektbeschreibungen enthalten häufig Begriffe und Kombinationen, die auch ohne Namensnennung dem Mandanten zugeordnet werden können. Die DSK verweist hierzu auf die strenge Rekonstruktionsprüfung und fordert dokumentierte Anonymisierungsprozesse^[2].

upsmart begegnet dieser Lage als Plattform, nicht als Berater. Die Ingestion von Mandanten- und Antragsunterlagen erfolgt in einer in Frankfurt gehosteten Umgebung mit dokumentierter Auftragsverarbeitung; KI-Komponenten sind so eingebunden, dass eine Einbindungskette nach § 203 Abs. 3 S. 2 StGB zwischen Berufsgeheimnisträger, Plattformbetreiber und Subprozessor konstruiert ist, bevor ein Textsegment eines Förderantrags den Kontrollbereich des Geheimnisträgers verlässt. Das ersetzt die berufsrechtliche Prüfung durch den Verantwortlichen nicht — aber es verschiebt den Einstiegspunkt von einer unklaren Consumer-Schnittstelle zu einem vertraglich fassbaren Verarbeitungsrahmen.

Die Kernaussage bleibt trotzdem einfach: der routinemäßige Griff zu ChatGPT für einen Förderantrag ist im Kreis der schweigepflichtigen Berufe in der Standardkonfiguration kein Effizienzgewinn, sondern eine strafrechtlich einschlägige Handlung. Die DSK hat die Erwartung der Aufsicht klar formuliert; die Kammern haben sie in ihre Hinweise übernommen; der Gesetzgeber hat mit § 203 Abs. 3 S. 2 StGB die Einbindungspflicht und mit § 203 Abs. 4 StGB die eigene Strafbarkeit der mitwirkenden Personen kodifiziert; der AI Act verdichtet die Anforderungen zusätzlich. Wer KI in der Antragsarbeit einsetzen will, braucht eine Architektur, die diese drei Ebenen gleichzeitig bedient — und sie nicht einer Produktivitätsanmutung opfert.