FAQ-Katalog zum KI-Einsatz in Steuerkanzleien
Die Bundessteuerberaterkammer (BStBK) hat jüngst einen umfangreichen FAQ-Katalog zum Einsatz Künstlicher Intelligenz im steuerberatenden Berufsstand veröffentlicht. Das Dokument adressiert praxisrelevante Fragen aus den Bereichen Datenschutz, Berufsrecht, Tool-Governance und Qualitätssicherung – und ist damit auch für Datenschutzbeauftragte in Kanzleien von unmittelbarer Relevanz.
Datenschutz und Berufsgeheimnis als zentrale Leitplanken
Der Katalog stellt klar: Mandantendaten dürfen grundsätzlich nicht in öffentlich zugängliche KI-Dienste wie ChatGPT eingegeben werden, sofern keine ausreichende vertragliche Absicherung besteht. Die berufsrechtliche Verschwiegenheitspflicht nach § 57 StBerG und § 203 StGB gilt technologieneutral – also auch beim KI-Einsatz. Sollen mandatsbezogene Daten verarbeitet werden, sind entweder eine Anonymisierung oder der Abschluss eines Auftragsverarbeitungsvertrags sowie einer Verschwiegenheitsvereinbarung nach § 62a StBerG erforderlich. EU-basierte Anbieter sind ausdrücklich zu bevorzugen; bei Drittstaatenanbietern – insbesondere außerhalb der EU – gelten erhöhte Anforderungen.
DSGVO-Compliance und Datenschutz-Folgenabschätzung
Sobald KI-Systeme personenbezogene Daten verarbeiten, greifen vollumfänglich die DS-GVO-Grundsätze: Rechtsgrundlage, Datenminimierung, Zweckbindung, Löschkonzepte und Drittstaatentransfers müssen geprüft und dokumentiert sein. Die Aufsichtsbehörden verlangen nach Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung, wenn der KI-Einsatz voraussichtlich hohe Risiken für Betroffenenrechte birgt. In diesem Fall entsteht auch für kleinere Kanzleien die Pflicht zur Bestellung eines Datenschutzbeauftragten.
KI-Kompetenz als Betreiberpflicht
Kanzleien, die KI eigenverantwortlich einsetzen, gelten als Betreiber im Sinne von Art. 3 Nr. 4 KI-VO und sind nach Art. 4 KI-VO verpflichtet, für ausreichende KI-Kompetenz ihres Personals zu sorgen. Eine gesetzliche Pflicht zur Nutzung von KI oder zur Bestellung eines KI-Beauftragten besteht nicht – die BStBK empfiehlt jedoch ausdrücklich, einen internen Ansprechpartner zu benennen sowie ein KI-Verzeichnis als Compliance-Werkzeug einzuführen. Fachliche Endverantwortung verbleibt stets beim Berufsträger; KI-Ergebnisse sind grundsätzlich kritisch zu prüfen und dürfen nicht ungeprüft übernommen werden.
(Foto: Sina Ettmer – stock.adobe.com)
Das könnte Sie auch interessieren
-
LLM-gestützte Chatbots in der öffentlichen Verwaltung
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung. Beschaffung: Vorabprüfung als Pflichtprogramm Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob
Mehr erfahren -
Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen
Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand
Mehr erfahren -
Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde
Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden. Der Vorfall Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag
Mehr erfahren
