Leitfaden

Elina Lesyk

Elina Lesyk

13. April 2026

KI in der Steuerkanzlei: Haftung, Datenschutz und das Berufsgeheimnis

Zwischen Berufsrecht und Algorithmen: Die 7 kritischsten Fragen zum rechtssicheren Einsatz von KI in der Kanzlei.

Wir schreiben den April 2026. Die Frage ist nicht mehr, ob Künstliche Intelligenz in der Steuerberatung Einzug hält, sondern wie wir sie technologisch führen, ohne das Fundament unseres Berufsstands zu gefährden: das Vertrauen des Mandanten.

In meinen täglichen Gesprächen mit Kanzleiinhabern höre ich immer wieder dieselben kritischen Fragen. Dieser Guide bündelt die Antworten auf Basis der aktuellen Rechtslage, der BStBK-Stellungnahmen von Februar 2026 und des EU AI Acts.

Problem

Die regulatorische Komplexität (EU AI Act, DSGVO, §203 StGB) führt zu Verunsicherung und blockiert notwendige Effizienzgewinne.

Lösung

Eine saubere Architektur aus vertraglicher Absicherung, technischem Trainingsausschluss und dokumentierter KI-Kompetenz.

Für wen?

Steuerberater, Kanzleiinhaber und IT-Verantwortliche, die KI nicht nur als Experiment, sondern als rechtssicheren Standard etablieren wollen.

So funktioniert es

  1. Vertragsprüfung: Verschwiegenheitsvereinbarung in Textform (§62a StBerG) sicherstellen.
  2. Datenfluss-Analyse: Trainingsausschluss (Zero Data Retention) verifizieren.
  3. KI-Literacy: Mitarbeiterschulungen gemäß Art. 4 EU AI Act dokumentieren.
  4. Transparenz: Kennzeichnungspflichten für KI-Interaktionen ab August 2026 vorbereiten.

Die Anbieter-Realität: Wer liefert §203-Konformität?

Der Markt ist 2026 zweigeteilt. Microsoft bietet eine dedizierte Zusatzvereinbarung für Berufsgeheimnisträger, die direkt in das Customer Agreement integriert ist. AWS und Google Cloud halten sich hier oft zurück. Die Lösung: Nutzen Sie spezialisierte Plattformen oder berufsnahe Anbieter wie die DATEV, welche die §203-Vereinbarung für die dahinterliegende Infrastruktur 'durchreichen'.

  • Microsoft: Zusatzvereinbarung + EU Data Boundary (Feb 2025)
  • Deutsche Telekom: Standardisierte §203-Vereinbarung seit 2021
  • DATEV: Empfohlen als 'berufsnaher Anbieter' mit nativer Integration

Der EU AI Act: KI-Kompetenz wird zur Berufspflicht

Seit dem 2. Februar 2025 ist die KI-Kompetenzverpflichtung (Art. 4 EU AI Act) in Kraft. Das bedeutet für Sie: Es reicht nicht, das Tool zu haben. Sie müssen dokumentieren, dass Ihre Mitarbeitenden die Fähigkeiten besitzen, die Ergebnisse zu prüfen. Die BStBK fordert hier den 'Human-in-the-Loop' – der Berufsträger behält immer die volle persönliche Verantwortung.

  • Transparenzpflicht: Ab Aug 2026 müssen KI-Chatbots als solche gekennzeichnet sein
  • KI-MIG: Das deutsche Umsetzungsgesetz folgt einer 1:1-Implementierung ohne Verschärfung
  • Haftung: KI-Fehler werden wie Kanzleifehler behandelt – die Sorgfaltspflichten steigen

Fazit: Architektur statt Experiment

Wer 2026 KI einsetzt, muss von der Bastel-Lösung zur Compliance-Architektur wechseln. Ein 'Safe Stack' besteht aus Modellen mit vertraglichem Trainingsausschluss, regionalem EU-Hosting und einer sauberen Dokumentation der KI-Literacy in der Kanzlei.

FAQ

Darf ich als Steuerberater überhaupt Cloud-KI nutzen?

Ja. Die Reform des §203 StGB von 2017 hat den Weg geebnet. Wir dürfen externe IT-Dienstleister einsetzen, sofern sie in Textform zur Verschwiegenheit verpflichtet und über die strafrechtlichen Konsequenzen belehrt wurden. Die BStBK bestätigt im FAQ-Katalog (Februar 2026): KI ist ein Verstärker, kein Ersatz – der Einsatz ist unter klaren Bedingungen ausdrücklich zulässig.

Was brauche ich vertraglich – reicht ein AVV?

Nein, das ist ein gefährlicher Trugschluss. Ein AVV nach Art. 28 DSGVO schützt nur personenbezogene Daten. Das Berufsgeheimnis schützt aber alles, was der Mandant anvertraut. Sie benötigen zwingend zwei Verträge: Den AVV für den Datenschutz und eine separate Verschwiegenheitsvereinbarung nach §203 StGB / §62a StBerG in Textform mit Strafbelehrung.

Warum nicht einfach ein eigenes LLM lokal hosten?

Lokales Hosting wirkt wie ein Sicherheitsanker, ist aber oft ein Risikoherd. Cloud-Hyperscaler investieren Milliarden in BSI C5-Attestierungen und 24/7 Security Operations Center. Eine Kanzlei kann Supply-Chain-Risiken (wie den LiteLLM-Angriff von März 2026) lokal kaum abwehren. Zudem fehlt lokalen Modellen oft die Tiefe für komplexe BWA-Analysen.

Ist die Verarbeitung durch KI eine 'Offenbarung' im Sinne des Strafrechts?

Wahrscheinlich nicht. Der Deutsche Anwaltverein (DAV) hat im Juli 2025 (Stellungnahme 32/2025) klargestellt: Die rein automatisierte Verarbeitung ohne menschliche Klartexteinsicht durch den Anbieter stellt kein 'Offenbaren' dar. Das macht den Weg frei für moderne API-Strukturen mit Trainingsausschluss.

Alle Leitfäden anzeigen

Compliance-Sicherheitscheck?

Ich unterstütze Sie dabei, Ihre KI-Prozesse rechtssicher nach den BStBK-Standards von 2026 aufzusetzen.

Jetzt Compliance-Beratung anfragen

Verwandte Leitfäden

Lokale vs. Cloud‑LLMs für Steuerkanzleien

Wann lokale LLMs sinnvoll sind, wann Cloud‑LLMs reichen – inkl. Kanzlei‑Checkliste.

Was darf in ChatGPT? Leitfaden für Steuerkanzleien

Praxisregeln für Kanzleien: Was in ChatGPT erlaubt ist und wie Risiken vermieden werden.

Anonymisierung richtig umsetzen

Pragmatischer Leitfaden für wirksame Anonymisierung und Re‑Identifikationsschutz.