Künstliche Intelligenz

DATEV, KI und Compliance: Warum ein guter Anbieter nicht die eigene Kanzlei-Governance ersetzt

Über die stille Verwechslung von Anbieterqualität und eigener Compliance in Steuerkanzleien

Blog abonnieren

Verpassen Sie nichts mehr. Jetzt auf dem Laufenden bleiben und Newsletter abonnieren.

Einfach E-Mail-Adresse eintragen.

Subscribe

DATEV, KI und Compliance: Warum ein guter Anbieter nicht die eigene Kanzlei-Governance ersetzt
22:55


Zusammenfassung

Im Kontext der zunehmenden KI-Integration in Steuerkanzleien entstehen compliance-relevante Risiken, die ihren Ursprung weniger in technischen Mängeln als in kognitiven Verzerrungseffekten haben. Der vorliegende Beitrag untersucht, wie Automation Bias und Halo-Effekt im Zusammenspiel dazu führen können, dass Kanzleien die berechtigte Wertschätzung für einen etablierten Softwareanbieter – hier exemplarisch am Beispiel von DATEV betrachtet – unbewusst als Ersatz für die eigene Datenschutz- und KI-Governance deuten. Analysiert werden die psychologischen Grundlagen beider Effekte, ihre Rechtsfolgen unter DSGVO, EU-KI-Verordnung und Berufsrecht sowie typische Fehlannahmen, die im Kanzleialltag unmittelbar aus diesen Verzerrungen entstehen. Der Beitrag schließt mit konkreten Governance-Empfehlungen für die Kanzleipraxis.

Die Digitalisierung und die zunehmende Integration von Künstlicher Intelligenz verändern die Arbeitsprozesse in Steuerkanzleien grundlegend. Mit Funktionen wie Buchungsvorschlägen, Liquiditätsanalysen, Datenprüfungen, einem Einspruchsgenerator, DATEV Copilot und LEXchat stellt DATEV – als dominanter Anbieter im deutschen Steuer­beratermarkt – KI-gestützte Werkzeuge bereit, die zentrale Kanzleiprozesse unmittelbar unterstützen. Diese Integration schafft erhebliche Effizienzgewinne, erzeugt aber gleichzeitig ein spezifisches Compliance-Risiko, das nicht im System selbst, sondern im Umgang der Kanzlei mit ihm begründet liegt.  

Bild-1-1

Der Befund ist präzise: Viele Kanzleien verwechseln "DATEV ist ein seriöser Anbieter" mit "unsere eigene Datenschutz- und KI-Compliance ist damit erledigt." An diesem Punkt konvergieren zwei bekannte kognitive Verzerrungseffekte aus der Psychologie – Automation Bias und Halo-Effekt – und erzeugen in ihrem Zusammenspiel ein rechtliches Haftungsrisiko, das ohne eine eigenständige Kanzlei-Governance nicht beherrschbar ist. Der folgende Beitrag analysiert dieses Zusammenspiel, benennt seine rechtlichen Konsequenzen und formuliert Handlungsempfehlungen für die Praxis.  

Bild-2-1

Automation Bias (Automatisierungsverzerrung): Das Risiko unbewusster Systemgläubigkeit

Automation Bias bezeichnet in der Forschungsliteratur die Tendenz, automatisierten Vorschlägen oder Systemausgaben zu stark zu vertrauen – ein Übervertrauen, das den kritischen Prüfmodus des Nutzers schrittweise außer Kraft setzt. Das Phänomen ist in der kognitionswissenschaftlichen und systemergonomischen Forschung gut belegt und findet sich in einer Vielzahl von Domänen, von der Luftfahrt über die medizinische Diagnostik bis hin zur Finanzaufsicht. Seine Relevanz für die Steuerberatungspraxis folgt direkt aus der stetig wachsenden Einbettung KI-gestützter Systeme in Kanzleiprozesse.

Auch die EU-KI-Verordnung (KI-VO) erkennt Automation Bias in Art. 14 Abs. 4 lit. b unter der amtlichen Bezeichnung "Automatisierungsbias" ausdrücklich an; wissenschaftlich treffender lässt sich dieses Phänomen als "Automatisierungsverzerrung" beschreiben, weil nicht die Automatisierung als solche das Problem ist, sondern das menschliche Übervertrauen in scheinbar objektive maschinelle Ergebnisse.

Im Zusammenhang mit der menschlichen Aufsicht über KI-Systeme hält die Verordnung fest, dass Personen, die solche Systeme überwachen, sich der Tendenz bewusst bleiben müssen, automatisch oder übermäßig auf KI-Ausgaben zu vertrauen. Der dahinterstehende Grundsatz reicht über den unmittelbaren Anwendungsbereich einzelner Vorschriften hinaus: Wer sich auf KI-gestützte Ergebnisse stützt, muss die kritische menschliche Kontrolle über sie behalten und darf die eigene Urteilsbildung nicht durch das System ersetzen lassen. Die normative Anerkennung des Phänomens macht deutlich, dass Automation Bias kein akademisches Konstrukt ist, sondern ein Regelungsgegenstand des geltenden Rechts.

Im Kontext von Steuerkanzleien entfaltet sich Automation Bias auf eine charakteristische Weise. Wenn DATEV-Anwendungen Buchungsvorschläge, Einspruchsentwürfe, Sortiervorschläge, Zusammenfassungen, Rechercheantworten oder Analysen liefern, entsteht ein operativer Sog: Das System ist tief in Kanzleiprozesse integriert, fachlich nahe am Berufsstand und vermittelt den Eindruck technisch gesicherter Korrektheit. Das Risiko liegt dabei gerade nicht darin, dass DATEV fehlerhafte Ergebnisse liefern würde. Das Risiko drückt sich vielmehr dadurch aus, dass Kanzleien den Prüfmodus mental abschalten. Aus "DATEV liefert einen Vorschlag" wird faktisch "DATEV hat es geprüft" – und genau das führt zu einem Governance-Fehler.

Im konkreten Kanzleialltag nimmt dieser Fehler greifbare Form an: Die Kanzlei übernimmt das Ergebnis, weil es "aus DATEV" kommt. Der eigentlich gebotene Prüfschritt entfällt – niemand fragt, ob überhaupt personenbezogene Daten oder Mandantengeheimnisse betroffen sind, auf welcher Rechtsgrundlage die Verarbeitung beruht und ob das Ergebnis inhaltlich trägt. In ihrer Orientierungshilfe zum Einsatz von Künstlicher Intelligenz stellt die Datenschutzkonferenz – das gemeinsame Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in Deutschland, kurz DSK – klare Anforderungen für KI-Anwendungen heraus, nämlich dass Einsatzfelder und Zwecke vorab festgelegt werden, dass für jeden Verarbeitungsschritt mit Personenbezug eine Rechtsgrundlage erforderlich ist und dass KI-Ergebnisse mit Personenbezug kritisch zu hinterfragen sind.

Diese Konstellation ist nicht hypothetisch, sondern praktisch belegt. Die DSK weist ausdrücklich darauf hin, dass bei KI-Anwendungen bereits Eingaben ohne Namen und Anschriften dennoch Personenbezug aufweisen können, wenn der Kontext eine Identifizierung ermöglicht. Darüber hinaus können KI-Ausgaben personenbezogene Daten enthalten, selbst wenn die Eingabe zunächst unproblematisch erschien. Diese Feststellungen machen deutlich: Die datenschutzrechtliche Relevanz einer KI-gestützten Verarbeitung lässt sich nicht an der Oberfläche des Inputs ablesen. Sie erfordert eine eigenständige Bewertung durch die Kanzlei für jeden Einsatzfall – unabhängig davon, von welchem Anbieter das verwendete System stammt.

Halo-Effekt (Urteilsfehler): Wenn Anbietervertrauen zur Compliance-Illusion wird

Parallel zu Automation Bias wirkt ein zweites psychologisches Phänomen: der Halo-Effekt. Darunter versteht die Sozialpsychologie eine kognitive Verzerrung, bei der ein positiver Gesamteindruck einer Person, Marke, Institution oder eines Produkts die Wahrnehmung anderer, eigentlich getrennt zu beurteilender Eigenschaften einfärbt. Praktisch zeigt sich der Halo-Effekt etwa dann, wenn aus einem positiven Gesamteindruck vorschnell auf andere Eigenschaften geschlossen wird: "Der Anbieter ist etabliert und seriös, also wird auch die KI-Nutzung datenschutzrechtlich unproblematisch sein." Das kann stimmen – muss es aber nicht.

Im deutschen Steuerberatermarkt kann der Halo-Effekt gegenüber DATEV eine besonders ausgeprägte Wirkung entfalten, weil DATEV dort eine strukturell bedingte Sonderstellung innehat. Das Unternehmen ist berufsstandsnah, seit Jahrzehnten etabliert, tief in Kanzleiprozesse integriert, betreibt ein eigenes Rechenzentrum, verfügt über Zertifizierungen, schließt Auftragsverarbeitungsvereinbarungen ab und betreibt aktive Datenschutzkommunikation. DATEV selbst hebt bei seinen KI-Produkten geschützte Umgebungen, geprüfte Dienstleister sowie Datenschutz- und Informationssicherheitsmanagement hervor. Dieses konsistente Vertrauensbild ist legitim und sachlich begründet – es erzeugt aber zugleich den Nährboden für einen potenziell gefährlichen Fehlschluss.

Der psychologische Fehlschluss lautet: "DATEV ist sicher und datenschutzkonform aufgestellt – also ist auch unsere Nutzung automatisch datenschutz- und KI-compliant." Genau das ist der Halo-Effekt in Reinkultur. Die positive Bewertung der Anbieterqualität wird unbewusst auf die eigene Organisationspflicht der Kanzlei übertragen, obwohl beide Bewertungsebenen rechtlich und faktisch vollständig voneinander zu trennen sind. Das Ergebnis ist nicht ein objektives Compliance-Defizit auf Seiten von DATEV, sondern eine subjektive Wahrnehmungsverzerrung auf Seiten der Kanzlei – und damit ein Risiko, das aus der Kanzlei selbst heraus adressiert werden muss.

Die Trennung zwischen Anbieterverantwortung und Kanzleiverantwortung ist rechtlich zwingend. DATEV kann Infrastruktur, Verträge, technische Schutzmaßnahmen, Dokumentationen, Hilfetexte und Produktsicherheit bereitstellen. Was das Unternehmen der Kanzlei jedoch weder pauschal abnehmen kann noch rechtlich abnimmt, ist die Verantwortung für den eigenen Einsatz: Sie entscheidet, zu welchen Zwecken sie welche Daten in welchen Systemen verarbeitet, wer darauf zugreift und wie die Ergebnisse kontrolliert werden – und sie allein hat dafür einzustehen, dass der konkrete Kanzleiprozess datenschutzrechtlich wie berufsrechtlich zulässig ist. Diese Fragen muss die Kanzlei selbst beantworten und dokumentieren.

Der Compliance-Kern: Verantwortlichkeit verbleibt bei der Kanzlei

Die DSGVO lässt an der Verteilung der Verantwortung keinen Zweifel. Nach Art. 24 DSGVO ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen umzusetzen und deren Einhaltung nachweisen zu können. Der Europäische Datenschutzausschuss (EDSA) konkretisiert das Rechenschaftsprinzip dahingehend, dass es nicht nur das Ergreifen geeigneter Maßnahmen umfasst, sondern auch deren nachweisliche Wirksamkeit. Diese Accountability-Pflicht ist personengebunden: Sie liegt beim

Auch die Auftragsverarbeitung nach Art. 28 DSGVO ändert daran strukturell nichts. DATEV selbst erläutert in seinen DSGVO-FAQ, dass der Auftragsverarbeiter personenbezogene Daten für den Verantwortlichen und nach dessen Weisungen verarbeitet und hierfür ein Vertrag nach Art. 28 DSGVO erforderlich ist; die datenschutzrechtliche Gesamtverantwortung für den konkreten Einsatz, die Zwecke, die Rechtsgrundlage und die interne Freigabe bleibt aber bei der Kanzlei als Verantwortlicher.

Kunden mit direkter Vertragsbeziehung zu DATEV müssen entsprechend eine Vereinbarung zur Auftragsverarbeitung abschließen, als Grundlage für die Datenverarbeitung im Rechenzentrum. Die Auftragsverarbeitung ist damit ein Vertragsmechanismus zur klaren Regelung der technisch-organisatorischen Rahmenbedingungen – sie ist kein Instrument zur Delegation der Gesamtverantwortung. Die DSK hält ausdrücklich fest, dass die Gesamtverantwortung und Nachweispflicht des Verantwortlichen auch die Verarbeitung durch den Auftragsverarbeiter umfasst und der Verantwortliche sich davon nicht durch Beauftragung eines Auftragsverarbeiters befreien kann.

Für Steuerkanzleien kommt eine berufsrechtliche Dimension hinzu, die den Halo-Effekt besonders tückisch macht: Gerade weil der bestehende AV-Vertrag mit DATEV Sicherheit suggeriert, bleibt eine Lücke unsichtbar. Für Mandantendaten, die der Verschwiegenheit nach § 203 StGB und § 62a StBerG unterliegen, genügt die bloße Auftragsverarbeitungsvereinbarung berufsrechtlich nicht; es bedarf einer darüber hinausgehenden Verpflichtung des Auftragsverarbeiters, die dem Geheimnisschutz Rechnung trägt – so auch die Hinweise der Bundessteuerberaterkammer (BStBK) und des Deutschen Steuerberaterverbands e. V. (DStV). Diese Pflicht trifft die Kanzlei unabhängig vom Dienstleister und damit auch beim Einsatz von DATEV-Systemen.

Für die Kanzlei-Governance bleibt daher festzuhalten: DATEV kann zur Compliance beitragen, aber nicht an ihre Stelle treten.

Warum der Irrtum gerade bei Steuerberatern naheliegt

Das Zusammenspiel von Automation Bias und Halo-Effekt entfaltet seine besondere Wirkung nicht trotz der Professionalisierung des Berufsstands, sondern zum Teil gerade wegen ihr. Steuerberater arbeiten traditionell in hochstandardisierten, DATEV-geprägten Prozessen. Diese Standardisierung schafft Effizienz, Wiederholbarkeit und ein Gefühl professioneller Sicherheit; sie begünstigt aber auch eine Kultur der impliziten Verlässlichkeit: Wenn ein Prozess über DATEV läuft, fühlt er sich "kanzleiüblich", "berufsstandskonform" und "erprobt" an. Genau das ist der ideale Nährboden für den Halo-Effekt.

Je stärker DATEV-KI in alltägliche Arbeitsabläufe eingebettet wird, desto mehr wirken KI-Vorschläge wie normale Systemfunktionalität – nicht wie eine neue, separat zu prüfende Verarbeitungskategorie mit eigenem Datenschutz- und Governance-Regime. Buchungsvorschläge waren schon immer Teil von DATEV; nun werden sie KI-gestützt generiert. Aus der Nutzerperspektive verändert sich kaum etwas. Der Bewertungsrahmen ändert sich aber erheblich: Die DSGVO-Relevanz, das Erfordernis einer Rechtsgrundlage, die möglichen Auswirkungen auf betroffene Personen und die berufsrechtlichen Implikationen rücken in ein anderes Licht, sobald eine KI-gestützte Verarbeitung statt einer regelbasierten Verarbeitung vorliegt. Die Kanzlei sieht dann nicht mehr "KI-Verarbeitung mit Datenschutz- und Governance-Folgen", sondern nur noch "neues DATEV-Feature".

Praktische Fehlannahmen im Kanzleialltag

Die Kombination aus Automation Bias und Halo-Effekt produziert in der Kanzleipraxis wiederkehrende, identifizierbare Fehlannahmen, die – obwohl intuitiv plausibel – bei näherer Betrachtung rechtlich nicht haltbar sind.

Die erste Fehlannahme lautet: "Wir nutzen DATEV, also ist Datenschutz erledigt."

Diese Schlussfolgerung ist falsch, weil Datenschutz-Compliance ein vielschichtiges Konstrukt ist, das weit über die Wahl eines vertrauenswürdigen Anbieters hinausgeht. Es umfasst mindestens: die Festlegung von Verarbeitungszwecken, die Bestimmung der Rechtsgrundlage für jeden Verarbeitungsschritt, die Erfüllung von Informationspflichten gegenüber betroffenen Personen, die Umsetzung technischer und organisatorischer Maßnahmen, die Erstellung eines Löschkonzepts, die Führung eines Verzeichnisses der Verarbeitungstätigkeiten, die Regelung von Berechtigungen, den Abschluss von Auftragsverarbeitungsvereinbarungen, die Schulung von Mitarbeitenden, die kontinuierliche Kontrolle und die nachweisliche Dokumentation aller ergriffenen Maßnahmen. Keine dieser Pflichten wird durch die Wahl von DATEV als Anbieter substituiert.

Die zweite Fehlannahme lautet: "Die Daten liegen bei DATEV, also ist die KI-Nutzung unkritisch."

Auch diese Annahme ist unzutreffend. Unabhängig davon, wo Daten gespeichert sind, können Eingaben in KI-Systeme, KI-Ausgaben, Prompts, Dokumente, Kontextinformationen und Folgeverarbeitungen personenbezogene Daten oder dem Berufsgeheimnis unterliegende Informationen enthalten. Die datenschutzrechtliche Bewertung einer Verarbeitung richtet sich nicht nach dem Speicherort, sondern nach Art, Umfang, Zweck und Kontextualität der Verarbeitung. Selbst eine Eingabe, die keine Namen oder Adressen enthält, kann Personenbezug aufweisen, wenn der Kontext eine Identifizierung ermöglicht – dies hat die DSK ausdrücklich klargestellt.

Die dritte Fehlannahme lautet: "DATEV sagt, es sei geschützt, also müssen wir selbst nichts dokumentieren."

DATEV kann Sicherheitsinformationen über eigene Systeme und Infrastruktur bereitstellen und tut dies auch. Dieser Umstand ersetzt jedoch nicht die kanzleiseitige Pflicht, den eigenen Einsatzfall im oben umrissenen Umfang zu bewerten und nachvollziehbar zu belegen. Herstellerangaben zur Produktsicherheit und die Dokumentation des eigenen Verarbeitungshandelns liegen auf zwei verschiedenen Ebenen; die eine kann die andere nicht ersetzen.

Die vierte Fehlannahme betrifft die inhaltliche Verlässlichkeit von KI-Ausgaben: "Wenn DATEV Copilot, LEXchat oder der Einspruchsgenerator Quellen liefert, ist das fachlich belastbar."

Gerade bei steuerrechtlichen und mandatsbezogenen Ergebnissen ist diese Annahme gefährlich. KI-Systeme können sachlich fehlerhafte, veraltete oder unvollständige Informationen produzieren. Die DSK verlangt ausdrücklich, dass KI-Ergebnisse mit Personenbezug vor ihrer Weiterverarbeitung einer kritischen Überprüfung unterzogen werden. Eine ungeprüfte Übernahme kann zu Beratungsfehlern, berufsrechtlichen Folgen und datenschutzrechtlichen Verstößen führen.

Compliance-Botschaft und Governance-Empfehlungen

Automation Bias und Halo-Effekt sind die psychologischen Mechanismen, die die Verwechslung von Anbieterqualität und eigener Kanzlei-Governance systematisch begünstigen – und diese Verwechslung ist der Kern des hier beschriebenen Problems. Gerade dort, wo ein Anbieter tief in den Arbeitsalltag eingebettet ist, fachlich hohes Vertrauen genießt und zunehmend KI-gestützte Funktionen bereitstellt, entsteht keine bloße Randproblematik, sondern eine strukturell riskante Vertrauenskonstellation: Die Qualität des Anbieters wird unbemerkt mit der Ordnungsmäßigkeit des eigenen Einsatzes gleichgesetzt. Bei DATEV und dem deutschen Steuerberatermarkt ist diese Konstellation in besonderem Maße gegeben. Eben deshalb lohnt es sich, beide Effekte beim Namen zu nennen und ihre Implikationen ausdrücklich zu adressieren.

Damit ist keine Kritik an DATEV verbunden: Anbieterwahl und eigene Governance sind keine Substitute, sondern Komplementärpflichten. Wer DATEV nutzt, hat möglicherweise einen sehr guten Anbieter gewählt – von der eigenen Rechenschaftspflicht, der KI-Kompetenzpflicht und der berufsrechtlichen Sorgfalt im Umgang mit Mandantendaten entbindet ihn das nicht. Wer beide Ebenen sauber auseinanderhält und zugleich zusammenführt, schützt nicht nur sich selbst vor Haftungsrisiken, sondern handelt auch im wohlverstandenen Interesse seiner Mandantschaft.

Entscheidend ist dabei die saubere Abgrenzung: Der Halo-Effekt beschreibt die positive Grundannahme gegenüber dem System oder Anbieter; Automation Bias beschreibt das daraus folgende konkrete Nutzungsverhalten. Im DATEV-Kontext bedeutet das: Weil der Anbieter als seriös, etabliert und berufsstandsnah wahrgenommen wird, sinkt die Schwelle, KI-gestützte Vorschläge als fachlich und rechtlich belastbar zu akzeptieren. Aus Vertrauen wird Übernahme. Genau an dieser Schnittstelle muss Kanzlei-Governance ansetzen: nicht gegen den Anbieter, sondern gegen die eigene Neigung, Anbieterqualität mit geprüfter Einzelfall-Compliance zu verwechseln.

Bild-3-1

Quellenverzeichnis

Rechtsnormen und europäische Verordnungen

  • Datenschutz-Grundverordnung – DSGVO, insb. Art. 24 (Verantwortlichkeit des Verantwortlichen) und Art. 28 (Auftragsverarbeiter); intersoft consulting AG, online Gesetzestexte, abgerufen am 02.07.2026.

  • EU-KI-Verordnung (AI Act), insb. Art. 4 (KI-Kompetenz) und Art. 14 (Menschliche Aufsicht); intersoft consulting AG, online Gesetzestexte, abgerufen am 02.07.2026.

  • § 203 Strafgesetzbuch (StGB) – Verletzung von Privatgeheimnissen (Verletzung der Verschwiegenheitspflicht einschließlich Berufsträgern nach Abs. 1 Nr. 3); Gesetze im Internet, abgerufen am 02.07.2026.

  • § 62a Steuerberatungsgesetz (StBerG) – Inanspruchnahme von Dienstleistungen; besondere Anforderungen beim Einsatz von Auftragsverarbeitern durch Steuerberater; Gesetze im Internet, abgerufen am 02.07.2026.

Behördliche Veröffentlichungen und Aufsichtsdokumente

Berufsständische Dokumente

Herstellerdokumentation (DATEV)

Fachpublikationen

Das könnte Sie auch interessieren

Verpassen Sie nichts mehr. Jetzt auf dem Laufenden bleiben und Newsletter abonnieren.

Sind Sie der Erste, der über neueste Themen wie Geldwäscheprävention, Datenschutz, Whistleblowing und aktueller Rechtsprechung informiert wird.

Einfach hier Ihre E-Mailadresse eintragen: