Seit Februar 2025 gilt die KI-Kompetenzpflicht. Warum eine kanzleiinterne KI-Richtlinie kein Nice-to-have ist – und wie Sie eine erstellen.
Ihre Steuerfachangestellte nutzt ChatGPT für Formulierungshilfen. Ihr Prüfungsassistent lässt Vertragsentwürfe von Claude zusammenfassen. Ihr Azubi fragt Perplexity nach BMF-Schreiben. Sie wissen von alldem nichts. Willkommen in der Welt der Schatten-KI.
Das Problem ist nicht die Nutzung. Das Problem ist die Regellosigkeit. Ohne klare Vorgaben entscheidet jeder Mitarbeiter selbst, welches Tool er nutzt, welche Daten er eingibt und ob er das Ergebnis prüft. Das ist kein Technologieproblem. Das ist ein Organisationsproblem – und seit dem 2. Februar 2025 auch ein regulatorisches.
Was sich seit Februar 2025 geändert hat
An diesem Datum trat Artikel 4 der EU-KI-Verordnung in Kraft. Er verpflichtet Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Die Formulierung klingt weich – „nach besten Kräften" – aber die Konsequenzen sind es nicht.
Entscheidend: „Betreiber" ist jede Organisation, die ein fremdes KI-System nutzt. Auch eine Kanzlei, in der ein einziger Mitarbeiter ChatGPT öffnet, fällt unter diese Definition. Größe und Branche spielen keine Rolle.
Was Artikel 4 konkret verlangt, hat das ifaa – Institut für angewandte Arbeitswissenschaft – eingeordnet: Es geht nicht um eine generelle Schulungspflicht, sondern um eine Organisationsverantwortung. Kanzleien müssen praktikable Maßnahmen ergreifen – Schulungen, interne Richtlinien oder Multiplikatoren, die KI-Kompetenz sicherstellen.
Durchsetzung: Noch nicht aktiv, aber im Zeitplan
Die EU-Kommission bestätigt in ihren FAQ: Die Pflicht gilt bereits. Die Überwachung durch nationale Marktüberwachungsbehörden beginnt ab dem 2. August 2026. In Deutschland wird diese Rolle voraussichtlich die Bundesnetzagentur übernehmen, die seit Juli 2025 bereits ein KI-Service-Desk betreibt.
Artikel 4 ist nicht direkt bußgeldbewehrt. Aber: Entsteht ein Schaden, weil ungeschultes Personal ein KI-System falsch bedient, kann das als Verstoß gegen die allgemeine Sorgfaltspflicht gewertet werden. Die EU-Kommission stellt klar, dass eine Sanktion insbesondere dann wahrscheinlich ist, wenn ein Vorfall auf fehlende Schulung oder Anleitung zurückzuführen ist.
Warum ausgerechnet eine KI-Richtlinie
Das IWW-Fachmagazin KP Kanzleiführung professionell bringt es auf den Punkt: „Der Berufsangehörige sollte eine kanzleiinterne KI-Richtlinie erstellen, um den verantwortungsvollen Einsatz der Technologie zu regeln und Kontroll- sowie Dokumentationspflichten klar zu definieren."
Der gleiche Beitrag stellt klar: Es gilt strikte Risikoorientierung. Je haftungsträchtiger das Ergebnis, desto genauer muss die Kontrolle ausfallen. Außerdem muss geprüft werden, ob die Berufshaftpflichtversicherung den KI-Einsatz abdeckt – anderenfalls muss der Versicherungsschutz angepasst werden.
Parallel bestätigt der DStV in seinen „10 Thesen zu generativer KI": Technologiekompetenz wird genauso wichtig wie Rechts- und BWL-Know-how. Wer KI nutzt, muss verstehen, wie sie funktioniert – von der Bewertung der Ergebnisse bis zur Erkennung von Verzerrungen.
Eine KI-Richtlinie erfüllt also drei Funktionen gleichzeitig: Sie dokumentiert die KI-Kompetenz nach Art. 4 KI-VO, sie strukturiert die Kontrollpflichten nach Berufsrecht und sie schützt den Kanzleiinhaber vor persönlicher Haftung.
Muster-Gliederung: Was Ihre KI-Richtlinie regeln muss
Die folgende Struktur orientiert sich an den Anforderungen aus EU AI Act, §203 StGB, §62a StBerG und den IWW-Empfehlungen. Sie können sie direkt als Gerüst verwenden.
§ 1 Zweck und Geltungsbereich
Für wen gilt die Richtlinie? Für alle Mitarbeiter, freie Mitarbeiter, Praktikanten und Auszubildende, die KI-Systeme im Kanzleikontext nutzen – auch auf privaten Geräten, wenn Mandantendaten betroffen sind.
§ 2 Begriffsbestimmungen
Was ist ein KI-System im Sinne dieser Richtlinie? Klare Abgrenzung zwischen freigegebenen Systemen und allgemeinen Consumer-Tools.
§ 3 Zugelassene KI-Systeme (Positivliste)
Welche Tools sind explizit freigegeben? Nur Systeme, die eine Verpflichtung nach §203 Abs. 4 StGB ermöglichen, einen AVV nach Art. 28 DSGVO bieten und keine Eingabedaten für Modelltraining verwenden. Die Positivliste wird vom KI-Beauftragten gepflegt und mindestens halbjährlich aktualisiert.
§ 4 Verbotene Nutzungsformen
Absolutes Verbot: Mandantendaten in nicht freigegebene Tools eingeben. Dazu gehören Standard-ChatGPT (ohne Enterprise-Vertrag), DeepSeek, kostenlose KI-Dienste ohne AVV und jedes Tool ohne EU-Serverstandort. Kein Mandantenname, keine Steuernummer, kein Sachverhalt.
§ 5 Umgang mit Mandantendaten
Welche Daten dürfen in freigegebene Systeme eingegeben werden? Drei Stufen: anonymisierte Daten (frei), pseudonymisierte Daten (nur in freigegebene Systeme), Klardaten (nur mit dokumentierter Rechtsgrundlage und Mandanteneinwilligung).
§ 6 Qualitätssicherung und Prüfpflichten
Jedes KI-generierte Arbeitsergebnis muss fachlich geprüft werden, bevor es die Kanzlei verlässt. Das IWW formuliert den Grundsatz eindeutig: Der Steuerberater darf die Ergebnisse nicht ungeprüft übernehmen – unabhängig davon, wie plausibel sie wirken. Prüfungstiefe nach Risikostufe: Interner Entwurf → Plausibilitätsprüfung. Mandantenkommunikation → Inhaltliche Vollprüfung. Schriftsatz ans Finanzamt → Vollständige fachliche Kontrolle mit Quellenabgleich.
§ 7 Dokumentationspflichten
Was wird dokumentiert? Welches KI-System wurde genutzt, für welches Mandat, welche Eingabe, welches Ergebnis, wer hat geprüft. Diese Dokumentation dient dem Nachweis bei Haftungsfragen und der Berufshaftpflichtversicherung.
§ 8 Schulung und Kompetenzentwicklung
Mindestens jährliche KI-Schulung für alle Mitarbeiter. Inhalt: Funktionsweise der freigegebenen Systeme, Grenzen und Halluzinationsrisiken, datenschutzrechtliche Pflichten und die Richtlinie selbst. Die BRAK empfiehlt in ihrem Leitfaden vom Dezember 2024 explizit: Kein „Grundvertrauen" in KI-Ergebnisse – jede Ausgabe muss verifiziert werden.
§ 9 Haftung und Versicherung
Klärung mit der Berufshaftpflichtversicherung, ob der KI-Einsatz abgedeckt ist. Gegebenenfalls: Erweiterung des Versicherungsschutzes. Dokumentation der Versicherer-Anforderungen und Umsetzung im Kanzleibetrieb.
§ 10 Inkrafttreten und Aktualisierung
Die Richtlinie tritt mit Unterschrift der Kanzleileitung in Kraft. Aktualisierungszyklus: mindestens jährlich oder bei wesentlichen Änderungen der Rechtslage, Toollandschaft oder Schadenfällen.
Die 5 häufigsten Fehler bei der KI-Einführung
Gar keine Regelung: Ihre Mitarbeiter nutzen KI trotzdem – nur eben unkontrolliert, auf privaten Accounts, ohne Datenschutz. Das ist die schlechteste aller Optionen.
Totalverbot: Klingt sicher, ist es nicht. Wer KI verbietet, verliert Wettbewerbsfähigkeit und treibt die Nutzung in die Unsichtbarkeit. Der DStV warnt klar: Wer nicht selbst definiert, wie KI genutzt wird, wird von Technologieanbietern und Marktmechanismen definiert.
„DSGVO-konform" als einziges Kriterium: §203 StGB setzt einen eigenständigen, strengeren Schutzstandard. Ein AVV allein reicht nicht – die Verpflichtung nach §203 Abs. 4 ist zusätzlich erforderlich.
Keine Prüfpflicht definiert: Ohne klare Kontrollstufen landen KI-Halluzinationen beim Finanzamt. Der Fall vor dem AG Köln (Az. 312 F 130/25) zeigt, was passiert, wenn ein KI-generierter Schriftsatz nicht geprüft wird: erfundene Urteile, fiktive Literaturstellen, Prozessschaden.
Einmal erstellen, nie aktualisieren: KI-Tools entwickeln sich schneller als jede Richtlinie. Was heute als sicher gilt, kann morgen überholt sein. Ein fester Aktualisierungszyklus ist kein Perfektionismus – er ist Pflicht.
Was als Nächstes kommt
Die Richtlinie regelt das Wie. Aber sie beantwortet nicht die Frage, welches Tool die Anforderungen tatsächlich erfüllt. Wie eine KI-Plattform aussieht, die §203-Compliance, Mandantendatenschutz und Qualitätskontrolle technisch umsetzt, zeigen wir auf unserer Übersichtsseite → KI für Steuerberater
