Wer heute in einer Steuer- oder Wirtschaftprüfungskanzlei mit ChatGPT, Copilot oder einem anderen KI-Tool arbeiten will, kennt das Ritual: Namen schwärzen, Steuernummern ersetzen, Sachverhalte umformulieren, bis kein Rückschluss auf den Mandanten mehr möglich ist. Erst dann darf der Prompt abgeschickt werden. In Beratungsgesprächen mit Kanzleiinhabern hören wir dafür Formulierungen wie "Man korrigiert sich die Finger wund" oder schlicht: "Dann lass ich's halt." Dieser Artikel analysiert, warum manuelle Anonymisierung kein tragfähiges Modell für den KI-Einsatz in Kanzleien ist und welche Anforderungen eine Plattform erfüllen muss, damit Mandantendaten direkt eingegeben werden können.
Anonymisierung als Praxis: Was Kanzleien tatsächlich tun
Die Ausgangslage ist paradox. Kanzleien investieren in KI-Lizenzen, nutzen sie dann aber nur für Aufgaben, bei denen keine Mandantendaten einfließen: allgemeine Steuerrecherche, Textformatierung, Brainstorming. Die Anwendungsfälle mit dem größten Produktivitätsgewinn, Vertragsprüfung, Mandantenbriefe, Bescheidabgleich, Sachverhaltsanalyse, bleiben unangetastet. Oder sie werden mit einem Aufwand betrieben, der den Zeitgewinn wieder auffrisst.
In der Praxis sehen wir drei Verhaltensmuster:
Vermeidung. Die Kanzlei hat ein KI-Tool, aber die Mitarbeiter nutzen es nur für mandantenunabhängige Aufgaben. Der häufigste Grund: Unsicherheit darüber, was eingegeben werden darf. "Guten Gewissens Klarnamen eingeben", das trauen sich die wenigsten, solange die Kanzleileitung keine klare Freigabe erteilt hat.
Manuelles Anonymisieren. Sachverhalte werden vor der Eingabe umgeschrieben: Namen durch Platzhalter ersetzt, Zahlen gerundet, Branchenangaben verallgemeinert. Das funktioniert bei einer einzelnen Anfrage. Bei zehn am Tag wird es zur Belastung. Die Qualität der KI-Antwort leidet ebenfalls, weil der Kontext verloren geht: Wer "ein mittelständisches Unternehmen im produzierenden Gewerbe" schreibt statt den konkreten Sachverhalt, bekommt eine generische Antwort.
Bewusstes Ignorieren. Ein Teil der Mitarbeiter gibt Mandantendaten in Consumer-KI-Tools ein, ohne zu anonymisieren und ohne Wissen der Kanzleileitung. Die SWI Finance Studie 2025 bestätigt, dass 91,6 % der Kanzleien angeben, KI sei angekommen. Wie viele davon unkontrolliert über private Accounts laufen, erfasst keine Statistik. Der BStBK FAQ-Katalog KI (Februar 2026) adressiert genau dieses Risiko und empfiehlt klare interne Regelungen.
Warum Anonymisierung kein Compliance-Instrument ist
Der verbreitete Reflex "Ich anonymisiere, also bin ich sicher" hat ein strukturelles Problem: Er ist nicht zuverlässig. Manuelle Anonymisierung ist fehleranfällig, nicht skalierbar und juristisch kein anerkanntes Schutzkonzept im Sinne des §203 StGB.
Das Fehlerrisiko
Ein Sachverhalt enthält selten nur einen Personenbezug. Mandantenname, Firmenname, Steuernummer, Grundbucheinträge, Vertragsnummern, Bankverbindungen, Adressen: Bei einem komplexen Erbfall oder einer Betriebsprüfung kann ein einzelner Prompt dutzende identifizierende Merkmale enthalten. Wer eines übersieht, hat den Schutzzweck verfehlt. Und übersehen wird regelmäßig, weil Anonymisierung unter Zeitdruck stattfindet, nicht als strukturierter Prozess.
Die Kontextverlust-Falle
KI-Modelle arbeiten besser, je präziser der Input ist. Ein anonymisierter Sachverhalt ist per Definition unpräzise. Wer "Mandant A hat im Steuerjahr 2024 Einkünfte aus selbstständiger Arbeit erzielt" schreibt statt den konkreten Fall zu beschreiben, bekommt eine Antwort auf Lehrbuchniveau. Für die Praxis ist das selten ausreichend. Die Folge: Mitarbeiter geben entweder zu wenig Kontext ein (und bekommen schlechte Antworten) oder zu viel (und gefährden die Anonymisierung).
Die rechtliche Grauzone
§203 StGB schützt nicht nur personenbezogene Daten, sondern jede Information, die im Zusammenhang mit dem Mandat steht. Selbst die Tatsache, dass ein Mandatsverhältnis besteht, fällt darunter. Eine vollständige Anonymisierung, die diesen Schutzbereich abdeckt, ist bei steuerlichen Sachverhalten in der Praxis kaum erreichbar. Wer es versucht, bewegt sich in einer Grauzone: Reicht die Anonymisierung? Wer prüft das? Und was passiert, wenn ein Mitarbeiter einen Fehler macht?
Die Antwort auf die Frage, ob Steuerberater ChatGPT nutzen dürfen, ist nicht pauschal "Ja" oder "Nein". Sie hängt davon ab, wie die Plattform vertraglich und technisch abgesichert ist.
Was eine KI-Plattform leisten muss, damit Klarnamen eingegeben werden können
Wenn Anonymisierung kein tragfähiges Modell ist, muss die Plattform selbst die Schutzfunktion übernehmen. Die Anforderungen dafür lassen sich aus §203 StGB, §62a StBerG und der DSGVO ableiten. Drei Ebenen sind relevant.
| Ebene | Anforderung | Warum notwendig |
|---|---|---|
| Vertraglich | Geheimhaltungsvereinbarung nach §203 Abs. 4 StGB zusätzlich zur AVV | AVV schützt nur personenbezogene Daten, nicht Mandantengeheimnisse |
| Technisch | EU-Hosting, kein Training mit Kundendaten, Zugriffskontrollen | Daten dürfen den Rechtsraum nicht verlassen, kein Klartextzugriff durch Anbieter |
| Organisatorisch | Rollen- und Rechtekonzept, Mandantentrennung, Protokollierung | Kanzlei muss nachweisen können, wer wann welche Daten verarbeitet hat |
Die vertragliche Ebene: §203 verlangt mehr als eine AVV
Der rechtliche Rahmen für Cloud-KI in Kanzleien wurde in einem früheren Artikel detailliert analysiert. Die Kernaussage: Eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO reicht nicht. Steuerberater benötigen zusätzlich eine Geheimhaltungsverpflichtung, die den KI-Anbieter als "mitwirkende Person" im Sinne des §203 Abs. 3 Satz 2 StGB einbindet und über die strafrechtlichen Folgen einer Pflichtverletzung belehrt.
In der Praxis bedeutet das: Bevor ein Mitarbeiter einen Mandantennamen in ein KI-Tool eingibt, muss die Kanzleileitung prüfen, ob der Anbieter diese ergänzende Vereinbarung unterzeichnet hat. Bei Consumer-Diensten wie ChatGPT Free oder Copilot im persönlichen Abonnement existiert diese Vereinbarung nicht.
Die technische Ebene: Wo werden die Daten verarbeitet?
EU-Hosting in ISO 27001-zertifizierten Rechenzentren ist die Mindestanforderung, aber nicht die einzige. Zwei weitere Punkte sind entscheidend: Der Anbieter darf Kundendaten nicht für das Training seiner Modelle verwenden (Training-Opt-Out). Und der Zugriff durch Mitarbeiter des Anbieters auf Klartextdaten muss ausgeschlossen oder auf dokumentierte Ausnahmefälle beschränkt sein. Die DAV-Stellungnahme Nr. 32/2025 stützt diese Einordnung: Automatisierte Verarbeitung ohne Klartexteinsicht ist kein "Offenbaren" im Sinne des §203 StGB.
Die organisatorische Ebene: Was die Kanzlei selbst regeln muss
Die beste Plattform nützt wenig, wenn die Kanzlei intern nicht klärt, wer welche Daten eingeben darf. Ein Rollen- und Rechtekonzept sorgt dafür, dass nur berechtigte Mitarbeiter auf mandantenbezogene KI-Funktionen zugreifen. Eine Protokollierung macht die Nutzung nachvollziehbar. Beides ist nicht nur sinnvoll, sondern wird vom BStBK FAQ-Katalog KI als Bestandteil einer internen KI-Richtlinie empfohlen.
Wie eine solche KI-Richtlinie für Kanzleien aussieht, beschreiben wir auf unserer Übersicht KI für Steuerkanzleien.
Drei Fragen, die Ihre Kanzlei jetzt beantworten sollte
Bevor Sie als Kanzleiinhaber eine Entscheidung treffen, ob und wie Mandantendaten in KI-Tools eingegeben werden, helfen drei Prüffragen:
Erstens: Hat Ihr KI-Anbieter eine Geheimhaltungsvereinbarung nach §203 Abs. 4 StGB unterzeichnet? Nicht eine AVV, nicht eine Datenschutzerklärung, sondern eine explizite Verpflichtung als mitwirkende Person mit Belehrung über die strafrechtlichen Folgen. Wenn nicht, dürfen keine Mandantengeheimnisse eingegeben werden, egal ob anonymisiert oder nicht.
Zweitens: Werden die Daten in der EU verarbeitet und ist ein Training-Opt-Out vertraglich garantiert? "Server in Europa" reicht als Aussage nicht. Prüfen Sie, ob der AV-Vertrag konkret benennt, in welchen Rechenzentren die Verarbeitung stattfindet und ob ein Training-Opt-Out dokumentiert ist.
Drittens: Haben Sie intern geregelt, wer welche Daten eingeben darf? Eine technische Lösung ohne organisatorische Begleitung erzeugt neue Risiken. Wenn jeder Mitarbeiter mit Kanzlei-Login Mandantendaten in KI eingeben kann, ohne dass nachvollziehbar ist, wer wann was eingegeben hat, fehlt die Kontrollschicht, die §203 StGB implizit voraussetzt.
ASCADI, die Multi-LLM-Plattform von Visionary Data, ist die einzige KI-Plattform im DACH-Raum, die neben der AVV eine ergänzende Geheimhaltungsvereinbarung nach §203 Abs. 4 StGB bietet, kombiniert mit EU-Hosting, Training-Opt-Out und einem Rollen- und Rechtekonzept. In einem unverbindlichen Erstgespräch prüfen wir gemeinsam, ob die Plattform zu den Anforderungen Ihrer Kanzlei passt.
Häufige Fragen
Darf ich Mandantendaten in ChatGPT eingeben, wenn ich sie vorher anonymisiere?
Anonymisierung reduziert das Risiko, beseitigt es aber nicht. §203 StGB schützt jede Information, die im Zusammenhang mit dem Mandat steht, einschließlich der Tatsache, dass ein Mandatsverhältnis besteht. Vollständige Anonymisierung ist bei komplexen Sachverhalten kaum erreichbar. Zudem fehlt bei Consumer-Diensten die vertragliche Absicherung nach §203 Abs. 4 StGB. Die sicherere Alternative ist eine Plattform, die den Anbieter als mitwirkende Person verpflichtet und EU-Hosting mit Training-Opt-Out bietet.
Welche KI-Plattformen bieten eine §203-konforme Geheimhaltungsvereinbarung?
Stand April 2026 bietet ASCADI von Visionary Data als einzige Multi-LLM-Plattform im DACH-Raum eine ergänzende Geheimhaltungsvereinbarung nach §203 Abs. 4 StGB. Branchenspezifische Anbieter wie Taxy.io oder Haufe CoPilot Tax sind auf steuerrechtliche Recherche spezialisiert und haben jeweils eigene Compliance-Konzepte. Prüfen Sie bei jedem Anbieter, ob die Vereinbarung explizit eine Verpflichtung als mitwirkende Person nach §203 Abs. 3 S. 2 StGB enthält.
Was ist der Unterschied zwischen einer AVV und einer §203-Geheimhaltungsvereinbarung?
Eine Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO regelt den Schutz personenbezogener Daten. Eine Geheimhaltungsvereinbarung nach §203 Abs. 4 StGB regelt den Schutz von Berufsgeheimnissen. Für Steuerberater sind beide erforderlich, weil die DSGVO und §203 StGB unterschiedliche Schutzgüter adressieren. Ein Verstoß gegen §203 StGB kann mit Freiheitsstrafe bis zu einem Jahr geahndet werden.
