<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1977987719789754&amp;ev=PageView&amp;noscript=1">
Skip to main content
Kostenloses Erstgespräch

KI-Richtlinie für Steuerkanzleien: Vorlage zum Anpassen für Ihre Kanzlei

Sebastian Sager
01.05.26 08:15

Seit dem 2. Februar 2025 verpflichtet Art. 4 EU AI Act jede Kanzlei, die KI einsetzt, ihre Mitarbeiter zur „KI-Kompetenz" zu schulen. Eine schriftliche KI-Richtlinie ist die Mindestdokumentation, mit der diese Pflicht und die berufsrechtliche Sorgfalt aus §62a StBerG nachweisbar werden. Die meisten Vorlagen aus dem Internet sind für Industrieunternehmen geschrieben und übersehen genau das: §203 StGB, Mandantengeheimnisse, Subunternehmer-Ketten. Dieser Beitrag liefert eine Vorlage in acht Bausteinen, die Sie übernehmen, anpassen und unterzeichnen können, sowie eine ehrliche Einordnung, was die Vorlage leistet und was nicht.

Warum eine generische KI-Richtlinie für Steuerkanzleien gefährlich ist

Eine KI-Richtlinie ist mehr als ein Compliance-Dokument. Sie ist im Streitfall Ihre Verteidigungslinie gegenüber Kammer, Mandant und Versicherer. Wer eine Vorlage aus einem allgemeinen Industriekontext übernimmt, importiert vier strukturelle Lücken.

Bereich Generische Vorlage Kanzleispezifische Anforderung
Datenklassifizierung „personenbezogene Daten" Mandantengeheimnisse nach §203 StGB, Berufsgeheimnisse nach §57 StBerG
Anbieter-Pflichten DSGVO-AVV nach Art. 28 zusätzlich Verschwiegenheitsvereinbarung nach §62a Abs. 3 StBerG mit §203-Belehrung
Subunternehmer meist nicht geregelt Kettenpflicht nach §62a Abs. 3 Satz 2 StBerG, jeder LLM-Provider muss belehrt sein
Prüfpflicht „Output kontrollieren" konkrete Berufsträger-Verantwortung bei Mandantenkommunikation

Aus Beratungsgesprächen mit mittelständischen Steuerkanzleien sehen wir das immer gleiche Muster: Die KI-Richtlinie wird heruntergeladen, das Logo getauscht, das Datum eingesetzt, die Mitarbeiter unterschreiben. Im Aufsichtsfall hält das Dokument keiner Prüfung stand. Eine Kanzleirichtlinie muss die berufsrechtlichen Spezifika ausdrücklich benennen, sonst dokumentiert sie nicht, was sie zu dokumentieren vorgibt.

In einem Beratungsgespräch (STB-CALL-08) formulierte ein Kanzleiinhaber den Trigger so: „Gebe ich auf jeden Fall weiter." Gemeint war die KI-Schulungspflicht. Die Richtlinie ist genau das schriftliche Dokument, das diese Schulungspflicht und ihre Umsetzung nachweisbar macht.

Die KI-Richtlinie als Vorlage: Acht Bausteine zum Anpassen

Die folgenden acht Abschnitte können Sie direkt in ein eigenes Dokument übernehmen. Pflichtfelder, die jede Kanzlei selbst befüllen muss, sind in eckigen Klammern markiert. Der Wortlaut ist berufsrechtlich abgestimmt, aber kein Ersatz für die abschließende Prüfung durch einen Fachanwalt für Berufsrecht oder Ihre Steuerberaterkammer.

§1 Geltungsbereich und Zweck

Diese Richtlinie regelt den Einsatz von Systemen mit künstlicher Intelligenz (im Folgenden „KI-Systeme") in der Kanzlei [Kanzleiname], [Anschrift]. Sie gilt für alle Berufsträger, Mitarbeiter, Auszubildenden und externen Dienstleister, die im Auftrag der Kanzlei tätig sind. Zweck der Richtlinie ist die Sicherstellung der Verschwiegenheitspflicht nach §57 StBerG und §203 StGB, die Erfüllung der KI-Kompetenzpflicht nach Art. 4 EU AI Act sowie die Wahrung der berufsrechtlichen Sorgfalt nach §62a StBerG. Die Richtlinie tritt am [Datum] in Kraft und wird mindestens jährlich überprüft.

§2 Zulässige und unzulässige KI-Werkzeuge

In der Kanzlei dürfen ausschließlich KI-Systeme eingesetzt werden, die in der Anlage 1 als „freigegeben" geführt sind. Die Anlage wird durch [Name der verantwortlichen Person, in der Regel der Berufsträger oder die Kanzleileitung] gepflegt und bei jeder Änderung mit Datum protokolliert.

Die Freigabe eines KI-Systems setzt voraus, dass für das System eine schriftliche Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO und, sofern Mandantendaten verarbeitet werden, eine zusätzliche Verschwiegenheitsvereinbarung nach §62a Abs. 3 StBerG mit ausdrücklicher Belehrung über §203 StGB vorliegt. Die Datenverarbeitung muss innerhalb des EU/EWR-Raums erfolgen. Eine Verwendung der eingegebenen Daten zum Modelltraining ist vertraglich auszuschließen.

Der Einsatz nicht freigegebener KI-Systeme zu kanzleidienstlichen Zwecken ist untersagt. Dies gilt insbesondere für kostenlose Versionen von ChatGPT, Microsoft Copilot Free, Google Gemini Free oder vergleichbare Consumer-Dienste, sofern für diese keine Kanzlei-Lizenz mit den genannten Vertragsbestandteilen vorliegt.

§3 Umgang mit Mandantendaten

Mandantendaten dürfen nur in KI-Systeme eingegeben werden, die nach §2 freigegeben sind und für die eine §62a-konforme Verschwiegenheitsvereinbarung mit dem Anbieter und dessen Subunternehmern besteht.

Die Kanzlei unterscheidet drei Datenklassen.

Klasse A — keine Mandantendaten: Allgemeine Recherchen, Formulierungshilfen, Gesetzestext-Analysen ohne konkreten Mandantenbezug. Klasse-A-Eingaben sind in jedem freigegebenen KI-System zulässig.

Klasse B — pseudonymisierte Mandantendaten: Sachverhalte ohne Klarnamen, ohne Steuernummern, ohne identifizierende Beträge oder Standorte. Klasse-B-Eingaben sind nur in KI-Systemen mit AVV nach Art. 28 DSGVO zulässig. Die Pseudonymisierung muss vor der Eingabe vollständig erfolgen.

Klasse C — identifizierbare Mandantendaten: Klarnamen, Steuernummern, konkrete Beträge mit Mandantenzuordnung, vollständige Sachverhalte. Klasse-C-Eingaben sind ausschließlich in KI-Systemen zulässig, für die eine §62a-konforme Verschwiegenheitsvereinbarung mit §203-Belehrung sowohl mit dem Hauptanbieter als auch mit allen Subunternehmern (insbesondere LLM-Providern) besteht.

Im Zweifel über die Klassifizierung ist die nächsthöhere Stufe anzuwenden.

§4 Prompt-Hygiene und Eingabevorschriften

Mitarbeiter sind verpflichtet, vor jeder Eingabe in ein KI-System die Datenklasse nach §3 zu prüfen. Die Eingabe von Klasse-C-Daten in ein nur für Klasse B freigegebenes System gilt als Verstoß gegen diese Richtlinie und kann zugleich einen Verstoß gegen §203 StGB darstellen.

Bei jeder Eingabe ist auf das Mindestnotwendige zu beschränken. Die Praxis, ganze Mandantenakten zu kopieren, um „mal zu sehen, was die KI sagt", ist untersagt.

Eingaben sind so zu formulieren, dass sie auch ohne kontextuelle Mandantenzuordnung verständlich bleiben. Dies erleichtert die spätere Pseudonymisierung und reduziert das Risiko unbeabsichtigter Offenbarungen.

§5 Prüfpflicht vor Weitergabe an Mandanten

Jedes Arbeitsergebnis, das mit Unterstützung eines KI-Systems erstellt wurde und an einen Mandanten weitergegeben wird, ist vor dem Versand durch einen Berufsträger oder eine fachlich qualifizierte Person zu prüfen. Die Prüfung umfasst mindestens die fachliche Richtigkeit, die Vollständigkeit und die Aktualität der zugrundeliegenden Rechtsquellen.

Die Verantwortung für das Arbeitsergebnis bleibt unverändert beim Berufsträger. KI-generierte Inhalte begründen keine eigenständige Verantwortlichkeit der Maschine.

Bei direkter Mandantenkommunikation (E-Mail, Brief, Mandantenbrief) ist die Prüfung vor jedem Versand zu dokumentieren. Form und Tiefe der Dokumentation richten sich nach §6.

§6 Dokumentation und Protokollierung

Der Einsatz von KI-Systemen ist in einem von der Kanzlei geführten KI-Verzeichnis zu dokumentieren. Das Verzeichnis enthält je System:

  • Bezeichnung, Anbieter und Version des KI-Systems
  • Vertragsstand (AVV, §62a-Vereinbarung, Datum)
  • Subunternehmer-Liste mit Stand der §203-Belehrung
  • Datenklasse, für die das System freigegeben ist
  • Verantwortliche Person für die Freigabe
  • Datum der letzten Überprüfung

Bei Klasse-C-Verarbeitungen ist je Mandantenakte zu vermerken, welches KI-System eingesetzt wurde und durch welche Person die Prüfung nach §5 erfolgte. Die Vermerke werden gemeinsam mit der Mandantenakte aufbewahrt.

§7 Schulungspflicht und Kompetenznachweis

Alle Mitarbeiter, die KI-Systeme im Sinne dieser Richtlinie nutzen, sind nach Art. 4 EU AI Act zu schulen. Die Schulung umfasst mindestens:

  • Funktionsweise und Grenzen von KI-Systemen, insbesondere Halluzinationen
  • Berufsrechtliche Pflichten (§57 StBerG, §62a StBerG, §203 StGB)
  • Datenklassifizierung nach §3 dieser Richtlinie
  • Praktische Übungen zur Pseudonymisierung
  • Prüf- und Dokumentationspflichten

Die Schulung ist vor der Erstnutzung eines KI-Systems durchzuführen und mindestens jährlich zu wiederholen. Teilnahme und Inhalt werden mit Datum dokumentiert. Neueintretende Mitarbeiter werden im Rahmen des Onboardings geschult, bevor sie KI-Zugriff erhalten.

§8 Verstöße und Sanktionen

Verstöße gegen diese Richtlinie werden im Wiederholungsfall arbeitsrechtlich geahndet. Bei vorsätzlichem oder grob fahrlässigem Verstoß, insbesondere bei Eingabe von Klasse-C-Daten in nicht freigegebene Systeme, behält sich die Kanzleileitung die sofortige außerordentliche Kündigung sowie zivilrechtliche Schadensersatzforderungen vor.

Verstöße sind unverzüglich an die Kanzleileitung zu melden. Eine Selbstanzeige des Mitarbeiters wird bei der Beurteilung berücksichtigt. Bei Verdacht auf einen Verstoß gegen §203 StGB prüft die Kanzleileitung die Meldung an die Steuerberaterkammer und gegebenenfalls die Strafanzeige.

Diese Richtlinie wurde am [Datum] beschlossen und ist von allen Mitarbeitern gegen Unterschrift zur Kenntnis zu nehmen.

[Ort, Datum] [Unterschrift Kanzleiinhaber/in oder Geschäftsführung]

Was diese Vorlage NICHT abdeckt

Eine Vorlage ist eine Grundlage, kein fertiges Compliance-System. Drei Bereiche müssen Sie kanzleiindividuell ergänzen.

Erstens: Anlage 1 mit Ihrer konkreten Tool-Liste. Welche KI-Systeme Sie tatsächlich freigeben, ist eine Entscheidung, die nur Ihre Kanzlei treffen kann. Sie hängt von vorhandenen Verträgen, technischer Infrastruktur und tatsächlichem Bedarf ab. Eine Tool-Liste, die Sie blind übernehmen, ist im Aufsichtsfall genauso wertlos wie keine Liste.

Zweitens: Mitwirkung des Datenschutzbeauftragten. Wenn Ihre Kanzlei einen externen Datenschutzbeauftragten beschäftigt, sollte dieser die Richtlinie vor Inkrafttreten prüfen, insbesondere im Hinblick auf Art. 35 DSGVO (Datenschutz-Folgenabschätzung) und die Schnittstellen zu bestehenden Verzeichnissen.

Drittens: Regelmäßige Aktualisierung. Die hier vorgelegte Vorlage spiegelt den Stand April 2026. Mit Inkrafttreten weiterer Pflichten aus dem EU AI Act ab August 2026 müssen Abschnitte zu Hochrisiko-KI-Systemen, Transparenzpflichten gegenüber Mandanten und KI-Inventaren ergänzt werden. Setzen Sie eine Wiedervorlage auf September 2026.

Eine vollständige Bestandsaufnahme bietet der interaktive KI-Compliance-Check für Steuerkanzleien. Er prüft 18 Compliance-Punkte, von denen die KI-Richtlinie nur einen Teilbereich abdeckt, und zeigt, wo in Ihrer Kanzlei noch zusätzlicher Handlungsbedarf besteht.

Wie sich diese Vorlage in Ihre bestehende Compliance einfügt

Die KI-Richtlinie ist eines von drei Dokumenten, die in der Kanzlei zusammenwirken müssen. Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO erfasst die Datenverarbeitung allgemein. Die KI-Richtlinie regelt den Einsatz im Detail. Die §62a-Vereinbarungen mit den einzelnen Anbietern dokumentieren die Lieferantenpflichten.

Wer nur die KI-Richtlinie hat, hat zwei Drittel der Strecke nicht zurückgelegt. Wer nur die AVVs hat, hat keine interne Governance. Den Zusammenhang aller drei Ebenen haben wir in unserem Beitrag EU AI Act und Steuerberater und in der Hintergrund-Analyse KI-Richtlinie für Ihre Kanzlei erstellen ausführlich beschrieben.

Visionary Data unterstützt Steuerkanzleien bei der berufsrechtlich sauberen Einführung von KI. Wenn Sie prüfen möchten, ob Ihre KI-Nutzung den Anforderungen aus EU AI Act, DSGVO, §62a StBerG und §203 StGB genügt, durchlaufen Sie zunächst den interaktiven KI-Compliance-Check. Für die individuelle Anpassung der Vorlage und die Verzahnung mit Ihrer bestehenden Compliance bieten wir ein 30-minütiges Erstgespräch an.

Häufige Fragen

Reicht eine generische KI-Richtlinie aus dem Internet aus?

Nein. Generische Vorlagen sind in der Regel für Industrieunternehmen konzipiert und behandeln Mandantengeheimnisse nicht als eigene Datenkategorie. Sie verweisen auf DSGVO und Art. 4 EU AI Act, nicht aber auf §203 StGB, §57 StBerG oder §62a StBerG. Im berufsrechtlichen Aufsichtsfall fehlt damit der Nachweis, dass die Kanzlei die spezifischen Pflichten ihres Berufsstandes berücksichtigt hat. Die Vorlage in diesem Beitrag ist auf das Berufsrecht der Steuerberater abgestimmt und bildet die Mindestbasis für eine kanzleieigene Richtlinie.

Wer in der Kanzlei muss die Richtlinie unterschreiben?

Die Richtlinie wird von der Kanzleileitung, in der Berufsausübungsgesellschaft von der Geschäftsführung, in Kraft gesetzt. Alle Mitarbeiter, die KI-Systeme nutzen, bestätigen die Kenntnisnahme schriftlich. Die Bestätigungen werden in der Personalakte oder in einem zentralen Compliance-Ordner aufbewahrt. Externe Dienstleister, die im Auftrag der Kanzlei mit KI arbeiten, werden ebenfalls auf die Richtlinie verpflichtet, in der Regel als Anhang zum Dienstleistungsvertrag.

Wie oft muss eine KI-Richtlinie aktualisiert werden?

Mindestens einmal jährlich. Zusätzlich bei jeder regulatorischen Änderung, jeder Aufnahme oder Deaktivierung eines KI-Systems und nach jedem dokumentierten Verstoß. Konkret bedeutet das für 2026: eine geplante Aktualisierung im September anlässlich des Inkrafttretens der EU-AI-Act-Betreiberpflichten, eine Aktualisierung bei Änderung der freigegebenen Tools sowie eine Wiedervorlage zum Jahreswechsel für die Schulungsplanung.

Den ersten Schritt machen.

Unser Team nimmt sich gerne die Zeit, um Ihnen zu zeigen, wie KI Ihren Unternehmenserfolg steigern kann. Ihre KI-Erfolgsgeschichte beginnt mit einer einfachen Anfrage.

Jetzt anfragen
logo-airbnb-02
logo-fitbit-02
logo-spotify-02
logo-slack-02
logo-alphabet-02
qualio
hirevibe
precisionhawk
smartmail