FAQ-Katalog zum KI-Einsatz in Steuerkanzleien

Nutzung von KI in Steuerberaterkanzlei

Die Bundessteuerberaterkammer (BStBK) hat jüngst einen umfangreichen FAQ-Katalog zum Einsatz Künstlicher Intelligenz im steuerberatenden Berufsstand veröffentlicht. Das Dokument adressiert praxisrelevante Fragen aus den Bereichen Datenschutz, Berufsrecht, Tool-Governance und Qualitätssicherung – und ist damit auch für Datenschutzbeauftragte in Kanzleien von unmittelbarer Relevanz.

Datenschutz und Berufsgeheimnis als zentrale Leitplanken

Der Katalog stellt klar: Mandantendaten dürfen grundsätzlich nicht in öffentlich zugängliche KI-Dienste wie ChatGPT eingegeben werden, sofern keine ausreichende vertragliche Absicherung besteht. Die berufsrechtliche Verschwiegenheitspflicht nach § 57 StBerG und § 203 StGB gilt technologieneutral – also auch beim KI-Einsatz. Sollen mandatsbezogene Daten verarbeitet werden, sind entweder eine Anonymisierung oder der Abschluss eines Auftragsverarbeitungsvertrags sowie einer Verschwiegenheitsvereinbarung nach § 62a StBerG erforderlich. EU-basierte Anbieter sind ausdrücklich zu bevorzugen; bei Drittstaatenanbietern – insbesondere außerhalb der EU – gelten erhöhte Anforderungen.

DSGVO-Compliance und Datenschutz-Folgenabschätzung

Sobald KI-Systeme personenbezogene Daten verarbeiten, greifen vollumfänglich die DS-GVO-Grundsätze: Rechtsgrundlage, Datenminimierung, Zweckbindung, Löschkonzepte und Drittstaatentransfers müssen geprüft und dokumentiert sein. Die Aufsichtsbehörden verlangen nach Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung, wenn der KI-Einsatz voraussichtlich hohe Risiken für Betroffenenrechte birgt. In diesem Fall entsteht auch für kleinere Kanzleien die Pflicht zur Bestellung eines Datenschutzbeauftragten.

KI-Kompetenz als Betreiberpflicht

Kanzleien, die KI eigenverantwortlich einsetzen, gelten als Betreiber im Sinne von Art. 3 Nr. 4 KI-VO und sind nach Art. 4 KI-VO verpflichtet, für ausreichende KI-Kompetenz ihres Personals zu sorgen. Eine gesetzliche Pflicht zur Nutzung von KI oder zur Bestellung eines KI-Beauftragten besteht nicht – die BStBK empfiehlt jedoch ausdrücklich, einen internen Ansprechpartner zu benennen sowie ein KI-Verzeichnis als Compliance-Werkzeug einzuführen. Fachliche Endverantwortung verbleibt stets beim Berufsträger; KI-Ergebnisse sind grundsätzlich kritisch zu prüfen und dürfen nicht ungeprüft übernommen werden.

(Foto: Sina Ettmer – stock.adobe.com)

Letztes Update:07.03.26

  • Vier Expertenporträts und Logo des Data Agenda Podcasts, Folge 94 mit Prof. Dr. Schwartmann, Markus Beckedahl, Lucia Burkhardt und Felix Sahm.

    Folge 94: KI-Reallabore, Kinder und Gesundheit

    Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),

    Mehr erfahren
  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner