Laut der SWI Finance Studie 2025 setzen 91,6 % der Kanzleien bereits KI ein. Gleichzeitig hat die Mehrzahl dieser Kanzleien keine schriftliche Regelung dafür, wer welche Tools mit welchen Daten nutzen darf. Das Ergebnis ist ein Zustand, den viele Kanzleiinhaber aus Beratungsgesprächen kennen: Mitarbeiter nutzen ChatGPT für Mandantenbriefe, Recherchen oder Vertragsentwürfe, oft mit der besten Absicht und manchmal mit Mandantendaten in der Eingabe. Eine interne KI-Richtlinie schafft Klarheit, wo sonst stillschweigendes Dulden regiert. Seit dem 2. Februar 2025 ist sie durch den EU AI Act Art. 4 auch regulatorisch geboten.
Warum eine KI-Richtlinie kein „Nice-to-have" mehr ist
Drei Entwicklungen machen eine formale KI-Richtlinie für Steuerkanzleien zur Priorität.
Die regulatorische Pflicht: Art. 4 der europäischen KI-Verordnung (VO (EU) 2024/1689) verpflichtet seit dem 2. Februar 2025 jeden Betreiber und Nutzer von KI-Systemen, für „ein ausreichendes Maß an KI-Kompetenz" bei Mitarbeitern zu sorgen. Die Vorschrift gilt unmittelbar, also ohne nationale Umsetzung, und erfasst jede Kanzlei, in der Mitarbeiter mit Sprachmodellen arbeiten. Ob ChatGPT für eine Recherche oder ein spezialisiertes Steuertool für Bescheidprüfung: Sobald ein KI-System zum Einsatz kommt, greift die Pflicht. Die weiteren Vorschriften der KI-Verordnung, darunter die Kennzeichnungspflichten, werden ab August 2026 vollständig anwendbar.
Die berufsrechtliche Erwartung: Der BStBK FAQ-Katalog KI, den die Bundessteuerberaterkammer im Februar 2026 veröffentlicht hat, fordert ausdrücklich eine „interne Governance-Struktur" für den KI-Einsatz. Die Kammer empfiehlt, schriftlich zu definieren, welche Datentypen in welche Tools eingegeben werden dürfen, wer neue KI-Tools genehmigt und wie mit KI-Ergebnissen umzugehen ist. Die Empfehlung ist nicht rechtsverbindlich, aber sie dokumentiert den Sorgfaltsmaßstab, an dem sich Kanzleien im Streitfall messen lassen müssen.
Die Haftungsfrage: Steuerberater haften für fehlerhafte Arbeitsergebnisse unabhängig davon, ob ein Mensch oder eine KI den Fehler verursacht hat. Wenn ein Mandantenbrief auf Basis einer KI-Halluzination verschickt wird und daraus ein Schaden entsteht, fragt niemand, welches Tool beteiligt war. Die Frage lautet: Gab es eine dokumentierte Prüfpflicht? Eine KI-Richtlinie ist der Nachweis, dass die Kanzlei organisatorisch vorgesorgt hat.
Was eine KI-Richtlinie für Kanzleien regeln muss
Wer im Internet nach Vorlagen sucht, findet allgemeine Muster, die für Industrieunternehmen konzipiert sind. Kanzleien haben spezifische Anforderungen, die sich aus dem Berufsrecht ergeben. Eine brauchbare KI-Richtlinie für Steuerkanzleien muss sechs Bereiche abdecken.
| Regelungsbereich | Was konkret definiert wird | Warum kanzleispezifisch |
|---|---|---|
| Zugelassene Tools | Welche KI-Dienste genutzt werden dürfen und welche nicht | §203 StGB erfordert besondere vertragliche Absicherung je nach Anbieter |
| Datenklassifizierung | Welche Daten in welche Systeme eingegeben werden dürfen | Mandantengeheimnisse erfordern strengere Regeln als allgemeine Unternehmensdaten |
| Prüfpflichten | Wer KI-Ergebnisse vor Weitergabe an Mandanten prüft | Berufsträgerhaftung bleibt unverändert bestehen |
| Dokumentation | Wie der KI-Einsatz protokolliert wird | Nachweispflicht gegenüber Kammer, Mandant und Versicherung |
| Schulung und Kompetenz | Wer geschult wird und wie der Nachweis erfolgt | EU AI Act Art. 4 verlangt nachweisbare KI-Kompetenz |
| Freigabeprozess für neue Tools | Wer über die Einführung neuer KI-Dienste entscheidet | Verhindert Schatten-KI und unkontrollierte Toolvielfalt |
Zugelassene Tools und Datenklassifizierung
Der kritischste Punkt in jeder Kanzlei-KI-Richtlinie ist die Frage, welche Daten in welches System dürfen. Die Antwort hängt von der vertraglichen Absicherung mit dem jeweiligen Anbieter ab. In unserem Artikel ChatGPT in der Steuerkanzlei: Erlaubt, geduldet oder strafbar? analysieren wir die drei Szenarien im Detail: Consumer-KI ohne Vertrag, Business-KI mit Auftragsverarbeitungsvereinbarung und §203-konforme Plattformen mit Geheimhaltungsvertrag.
Für die Richtlinie bedeutet das: Sie brauchen eine Datenklassifizierung mit mindestens drei Stufen. Stufe eins umfasst allgemeine Informationen ohne Mandantenbezug, etwa Recherchen zu Gesetzestexten oder allgemeine Formulierungshilfen. Diese dürfen auch in Tools ohne §203-Vertrag eingegeben werden, sofern eine AVV nach DSGVO Art. 28 vorliegt. Stufe zwei betrifft anonymisierte oder pseudonymisierte Mandantendaten. Hier ist eine AVV zwingend, und die Richtlinie muss definieren, welche Anonymisierungsstandards gelten. Stufe drei sind identifizierbare Mandantendaten. Für diese ist neben der AVV eine Geheimhaltungsvereinbarung nach §203 Abs. 4 StGB mit dem Anbieter erforderlich.
Unsere Erfahrung aus Beratungsprojekten zeigt: Die meisten Kanzleien scheitern nicht an der Drei-Stufen-Logik, sondern daran, sie für den Alltag handhabbar zu formulieren. „Keine Mandantendaten in ChatGPT" versteht jeder. „Anonymisierte Sachverhalte in Business-Tools mit AVV" erzeugt Rückfragen. Die Richtlinie muss deshalb konkrete Beispiele enthalten: Was darf die Steuerfachangestellte bei der Mandantenbrief-Erstellung eingeben? Wie sieht ein anonymisierter Sachverhalt für eine Rechtsrecherche aus?
Prüfpflichten und Vier-Augen-Prinzip
Die BStBK fordert im FAQ-Katalog ein „Human-in-the-Loop"-Prinzip: Kein KI-Ergebnis verlässt die Kanzlei ungeprüft. In der Richtlinie muss festgelegt werden, wer diese Prüfung durchführt. Bei Mandantenbriefen, Steuererklärungen und Beratungsdokumenten sollte der prüfende Berufsträger namentlich dokumentiert werden. Ein einfacher Prozess: KI erstellt den Entwurf, Fachkraft prüft inhaltlich, Berufsträger gibt frei. Für Routineaufgaben wie interne Zusammenfassungen oder Rechercheergebnisse kann die Prüftiefe angepasst werden.
Wie der EU AI Act Art. 4 in der Kanzleipraxis umgesetzt wird
Art. 4 verlangt KI-Kompetenz, definiert aber nicht im Detail, wie der Nachweis aussehen muss. Das schafft Unsicherheit, gibt Kanzleien aber auch Gestaltungsspielraum. Was aus dem Normtext und den Erwägungsgründen der Verordnung ableitbar ist: Die Kompetenz muss sich an der konkreten Nutzung orientieren. Ein Mitarbeiter, der KI für Mandantenbriefe nutzt, braucht andere Kenntnisse als jemand, der Steuerbescheide mit KI-Unterstützung prüft.
Für Kanzleien empfehlen sich drei Maßnahmen. Erstens: Eine dokumentierte Erstschulung für alle Mitarbeiter, die KI-Systeme nutzen. Die Schulung sollte Grundlagen der Funktionsweise von Sprachmodellen, typische Fehlerquellen wie Halluzinationen und Bias, die kanzleispezifischen Regeln der KI-Richtlinie sowie die berufsrechtlichen Rahmenbedingungen abdecken. Zweitens: Eine jährliche Auffrischung, die neue Tools, veränderte Vorschriften und Praxiserfahrungen aufgreift. Drittens: Eine Dokumentation, die nachweist, wer wann geschult wurde und welche Inhalte vermittelt wurden.
Die Sanktionen bei Verstößen gegen Art. 4 werden ab August 2026 vollständig durchsetzbar. Wer bis dahin keine nachweisbare Kompetenzstruktur aufgebaut hat, riskiert Bußgelder. Wichtiger als die Bußgelddrohung ist aber die Beweislast im Haftungsfall: Wer dokumentieren kann, dass Mitarbeiter geschult wurden und verbindliche Regeln existieren, steht im Streitfall besser da als eine Kanzlei ohne jede Regelung.
Fünf Fehler, die Kanzleien bei der KI-Richtlinie vermeiden sollten
Fehler 1: Die Richtlinie verbietet alles. „KI ist in unserer Kanzlei nicht gestattet" klingt sicher, führt aber zu Schatten-KI. Wenn Mitarbeiter erleben, dass Kollegen in anderen Kanzleien KI produktiv nutzen, werden Verbote umgangen. Eine Richtlinie muss ermöglichen, nicht nur einschränken.
Fehler 2: Keine konkreten Beispiele. Abstrakte Regeln werden ignoriert. „Mandantendaten dürfen nicht in ungesicherte Systeme eingegeben werden" ist korrekt, aber nicht handlungsleitend. Besser: „Wenn Sie einen Mandantenbrief mit KI entwerfen, verwenden Sie ausschließlich [Tool X] und ersetzen Sie vor der Eingabe den Mandantennamen durch einen Platzhalter."
Fehler 3: Einmal erstellt, nie aktualisiert. KI-Tools entwickeln sich schnell. Eine Richtlinie von März 2026 kann im September 2026 veraltet sein, etwa wenn ein bisher zugelassenes Tool seine Datenschutzbedingungen ändert oder ein neues berufsrechtliches Gutachten erscheint. Die Richtlinie braucht einen definierten Review-Zyklus, mindestens halbjährlich.
Fehler 4: Nur der Kanzleiinhaber kennt die Richtlinie. Eine Richtlinie, die im SharePoint-Ordner liegt und bei der Einführung einmal vorgestellt wurde, ändert kein Verhalten. Jeder neue Mitarbeiter muss sie im Onboarding erhalten und schriftlich bestätigen.
Fehler 5: Kein Freigabeprozess für neue Tools. Ohne klare Zuständigkeit installiert irgendwann jemand ein neues KI-Plugin, das Mandantendaten an Server außerhalb der EU überträgt. Die Richtlinie muss festlegen, wer neue Tools genehmigt, nach welchen Kriterien geprüft wird und wie die Dokumentation erfolgt.
Drei Schritte, um diese Woche zu starten
Die KI-Richtlinie muss nicht perfekt sein, um wirksam zu sein. Drei Maßnahmen, die jede Kanzlei sofort umsetzen kann:
Erstens: Bestandsaufnahme. Listen Sie auf, welche KI-Tools in Ihrer Kanzlei genutzt werden, auch informell. Fragen Sie Ihre Mitarbeiter direkt. Die STAX 2024 zeigt, dass 60 % der Kanzleien KI bereits in Teilbereichen einsetzen. Die Wahrscheinlichkeit, dass auch in Ihrer Kanzlei Tools im Einsatz sind, von denen Sie nichts wissen, ist hoch.
Zweitens: Datenklassifizierung festlegen. Definieren Sie die drei Stufen (allgemein, anonymisiert, mandantenbezogen) und ordnen Sie jedem aktuell genutzten Tool eine Stufe zu. Prüfen Sie, ob die vertragliche Grundlage zum jeweiligen Tool passt.
Drittens: Schulungstermin planen. Ein 90-minütiger Workshop reicht für den Einstieg. Inhalte: Was KI kann und was nicht, welche Daten wo eingegeben werden dürfen, wie Ergebnisse geprüft werden. Dokumentieren Sie den Termin und die Teilnehmer. Das ist der Minimalnachweis für Art. 4.
Wie eine §203-konforme KI-Einführung in der Kanzlei konkret aussieht, von der Vertragsgestaltung bis zur Mitarbeiterschulung, zeigen wir auf unserer Übersichtsseite für Steuerkanzleien.
Häufige Fragen
Braucht meine Kanzlei eine KI-Richtlinie, auch wenn wir KI kaum nutzen?
Ja. Art. 4 der KI-Verordnung greift, sobald ein einziger Mitarbeiter ein KI-System nutzt, und sei es nur für eine gelegentliche Recherche mit ChatGPT. Die Richtlinie muss nicht umfangreich sein, aber sie muss existieren und dokumentiert sein. Je weniger KI im Einsatz ist, desto kürzer kann die Richtlinie ausfallen. Aber „keine Richtlinie" ist keine Option mehr.
Welche Strafen drohen bei fehlendem KI-Kompetenznachweis?
Die KI-Verordnung sieht Bußgelder von bis zu 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes vor. Für typische Steuerkanzleien sind diese Höchstbeträge theoretisch. Praktisch relevanter ist das Haftungsrisiko: Wenn ein KI-bedingter Fehler zu einem Mandantenschaden führt und die Kanzlei weder Schulung noch Richtlinie nachweisen kann, verschlechtert das die Position erheblich, gegenüber dem Mandanten, der Berufshaftpflicht und der Kammer.
Reicht der BStBK FAQ-Katalog als KI-Richtlinie?
Nein. Der FAQ-Katalog der BStBK ist ein Orientierungsrahmen, keine betriebsinterne Richtlinie. Er nennt Prinzipien (Human-in-the-Loop, Verschwiegenheitspflicht, Risikoanalyse), definiert aber keine kanzleiindividuellen Regeln. Eine KI-Richtlinie muss konkret auf Ihre Kanzlei zugeschnitten sein: Welche Tools, welche Daten, welche Freigabeprozesse, welche Schulungen. Der FAQ-Katalog liefert den inhaltlichen Rahmen, die Richtlinie setzt ihn um.
