Es ist 22 Uhr, und irgendwo in Deutschland klickt eine Kanzleichefin auf „Veröffentlichen“. Ein neues Formular geht auf die Website: Reisekosten, Bewirtungsbelege und Fahrtkosten, endlich strukturiert abgefragt. Erst war es nur ein internes Hilfsmittel, mit KI schneller entworfen. Jetzt können Mandanten Daten eingeben und Unterlagen hochladen. Kostenfrei war das Formular. Folgenfrei ist es nicht.
Genau hier entsteht das Risiko: nicht beim Einsatz von KI an sich, sondern beim Bereitstellen gegenüber Mandanten. Aus einem internen Hilfsmittel wird ein mandantenseitiger Kanzleiprozess – mit Fragen zu Datenschutz, Berufsgeheimnis, technischer Sicherheit, Transparenz und Verantwortung.
Viele KI-Debatten in Kanzleien drehen sich darum, ob Mitarbeitende Mandantendaten in ChatGPT eingeben dürfen. Das ist wichtig. Doch mindestens ebenso kritisch ist die Frage: Ab wann muss ein KI-gestütztes Formular, ein Assistent oder eine Ausfüllhilfe vor dem Go-live geprüft und freigegeben werden?
Wie nah dieser Punkt im Alltag liegt, zeigt die folgende Geschichte der Kanzlei M. Sie ist erfunden, aber viele Steuerkanzleien werden sie wiedererkennen.
Die Steuerkanzlei M. ist eine typische kleinere Kanzlei mit einem bekannten Problem: Mandanten liefern Reisekosten, Bewirtungsbelege und Fahrtkosten oft unvollständig, unsortiert und in sehr unterschiedlichen Formaten. Die Kanzleileitung bringt das Problem auf einen Satz, den jeder im Berufsstand sofort versteht: "Die eigentliche Arbeit beginnt nicht mit der steuerlichen Beurteilung, sondern mit dem Sortieren dessen, was der Mandant irgendwie gemeint haben könnte."
Im Frühjahr beginnt ein junger Mitarbeiter, KI vorsichtig zu testen – ohne Strategie, ohne Governance-Konzept, mit bewusst anonymisierten Beispielen. Aus einem sperrigen dreiseitigen Hinweisblatt zu Reisekosten formt er mithilfe von Claude ein klar strukturiertes Frageformular. Die Leitung ist begeistert und entscheidet: Das verschicken wir nicht nur als PDF, das stellen wir auf die Website. Und genau hier, fast beiläufig, verändert das Projekt seinen Charakter. Aus einem intern mit KI erstellten Text wird ein digitales Erhebungsinstrument auf einer öffentlich erreichbaren Seite, über das die Kanzlei personenbezogene Daten, Beschäftigtendaten und steuerlich relevante Informationen entgegennimmt. Die interne Bewertung lautet trotzdem entspannt: "Das ist doch nur eine Eingabemaske."
Trennen wir zunächst sauber: Wenn die Kanzlei Claude allein dazu benutzt, ein Formular zu entwerfen, das anschließend als statisches Webformular läuft, ist dieses Formular in der Regel noch kein KI-System im Sinne der KI-VO. Die Künstliche Intelligenz steckt in der Erstellung, nicht im laufenden Betrieb. Doch wer daraus "also harmlos" schließt, irrt – und zwar gründlich.
Denn das Formular saugt personenbezogene Daten an: Name, Unternehmen, Reisedaten, Belege, womöglich Zahlungsinformationen. Damit ist das Formular datenschutzrechtlich kein Nebenschauplatz mehr. Die Kanzlei muss vor dem Go-live klären, zu welchem Zweck sie welche Daten erhebt, auf welcher Rechtsgrundlage dies geschieht, wie lange die Daten gespeichert werden, wer Zugriff hat und wie Mandanten direkt am Formular informiert werden.
Kanzlei M. versäumt genau das. Keine gesonderte Datenschutzinformation am Formular, kein Löschkonzept für die zusätzlich im Website-Backend gespeicherten Inhalte, und niemand fragt, ob diese doppelte Speicherung überhaupt nötig ist. Vor allem aber wird das offene Freitextfeld "Sonstige Hinweise" zur Falle. Ein offenes Freitextfeld ist wie eine unbeaufsichtigte Schublade: Irgendwann landet darin alles – Gesundheitsangaben, Daten Dritter oder Belege mit unnötigen Zahlungsinformationen. Aus dem "besseren Formular" ist klammheimlich eine unkontrollierte Verarbeitung sensibelster Daten geworden – Gesundheitsangaben etwa –, die unter den verschärften Schutz des Art. 9 DSGVO fallen.
Und damit nicht genug, denn für Steuerberater liegt unter dem Datenschutz noch eine zweite Schicht: das Berufsrecht. Wer Hosting-, Formular- oder KI-Dienstleister einbindet, muss deshalb nicht nur einen AVV prüfen, sondern auch sicherstellen, dass mandatsbezogene Informationen berufsgeheimnistauglich verarbeitet werden. Die Gegenmaßnahmen für diese erste Fallgruppe sind überschaubar, aber nicht verhandelbar: ein Datenschutzhinweis direkt am Formular, strikte Datenminimierung statt offener Freitextwüsten, HTTPS und Formularhärtung gegen Manipulation, ein Rollen- und Rechtekonzept mit Mehr-Faktor-Authentifizierung (MFA) für Administratorzugänge, eine berufsgeheimnistaugliche Dienstleisterauswahl, Dokumentation im VVT, technisch-organisatorische Maßnahmen (TOM – die konkreten Sicherheitsvorkehrungen wie Verschlüsselung oder Zugriffsschutz) und ein Löschkonzept. Plus die eine klare Botschaft an den Mandanten: Dieses Formular hilft beim Erfassen. Es ist keine Beratung.
Bei Kanzlei M. funktioniert das Formular zunächst hervorragend. Rückfragen sinken, Mandanten loben den modernen Service. Genau dieser Erfolg wird zum Brandbeschleuniger. Aus der internen Idee wächst der nächste Schritt: Die Kanzlei stellt Mandanten einen eigenen KI-Assistenten bereit, der durch Reisekosten, Bewirtungskosten und Einkommensteuer-Unterlagen führt.
Damit betritt die Kanzlei einen neuen Raum. Sie nutzt KI nicht mehr nur intern – sie reicht ihren Mandanten eine KI-gestützte Lösung, die ihren Namen trägt, an konkrete steuerliche Prozesse andockt und teils Geld kostet. Für den Mandanten ist das nicht "Langdock". Für ihn ist es "das KI-Tool der Kanzlei". Und diese Außenwahrnehmung ist juristisch alles andere als Kosmetik.
Jetzt wird es regulatorisch ernst. Unter der KI-VO muss die Kanzlei zuerst ihre eigene Rolle klären: Bleibt sie bloße Betreiberin eines fremden KI-Systems – oder wird sie selbst zur Anbieterin? Diese Einordnung entscheidet darüber, welche Pflichten sie treffen können.
Hier liegt der strategische Hebel des ganzen Falls. Durch Branding ("Steuerlotse M."), eine eigene Zweckbestimmung, eigene Workflows, eine eigene Mandantenoberfläche und entgeltliche Bereitstellung kann eine Kanzlei aus der bequemen Nutzerrolle herausrutschen – so, wie ein Händler, der fremde Ware unter eigenem Label verkauft, plötzlich selbst für sie geradesteht. Art. 25 KI-VO regelt genau solche Konstellationen: Unter bestimmten Voraussetzungen behandelt das Gesetz einen Betreiber, Händler oder Dritten wie einen Anbieter, etwa wenn er ein System unter eigenem Namen bereitstellt oder es wesentlich verändert.
In vielen Kanzleifällen wird kein Hochrisiko-KI-System vorliegen. Entscheidend ist trotzdem, dass die Kanzlei diese Einordnung vor dem Go-live prüft und dokumentiert – statt sie nur zu behaupten.
Für mandantenseitige KI-Assistenten bleiben unabhängig von der Risikoklasse mindestens zwei Punkte praktisch relevant: Mitarbeitende brauchen ausreichende KI-Kompetenz, und Mandanten müssen klar erkennen können, wenn sie mit einem KI-System interagieren. Kritisch wird es vor allem dort, wo der Assistent nicht nur Daten erfasst, sondern Bewertungen vorgibt, Entscheidungen vorbereitet oder Mandantenverhalten steuert.
Bei Kanzlei M. zeigt der Testbetrieb sofort, wo die Mine liegt. Der KI-Assistent soll eigentlich nur fehlende Angaben erkennen, formuliert aber Sätze wie "Diese Bewirtungskosten sind grundsätzlich abzugsfähig, wenn der betriebliche Anlass nachgewiesen wird." Steuerlich nicht falsch – aber für den Mandanten klingt das wie eine fachliche Vorprüfung. Der Assistent verwischt die Grenze zwischen Datenerfassung, Plausibilisierung und steuerlicher Würdigung. Und genau diese Grenze muss jede mandantenfähige Kanzlei-KI mit einem dicken Strich markieren.
Bei mandantenfähigen KI-Lösungen reicht ein Auftragsverarbeitungsvertrag (AVV) – also der Vertrag, mit dem ein Dienstleister Daten weisungsgebunden im Auftrag der Kanzlei verarbeitet – allein nicht aus. Zuerst muss die Kanzlei klären, wer für welchen Verarbeitungsschritt Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortlicher ist. Für die Kanzlei heißt das praktisch: Datenschutz darf nicht erst nach dem Go-live geprüft werden. Schon bei der Konzeption muss klar sein, welche Daten abgefragt werden, wo sie gespeichert werden, wer Zugriff hat, wann sie gelöscht werden und ob der KI-Anbieter sie sehen oder weiterverwenden kann. Wo Plattform-, LLM- (Large-Language-Model-), Hosting- oder Formularanbieter Daten im Auftrag verarbeiten, greift Art. 28 DSGVO – und der verlangt mehr als eine Unterschrift: eine belastbare Anbieterprüfung zu Garantien, Subunternehmern, Datenstandort, Löschung, Protokollierung, Supportzugriffen, Weisungsbindung und der heiklen Frage, ob die Eingaben für das Training der KI ausgeschlossen sind.
Zusätzlich verlangt Art. 35 DSGVO eine Prüfung, ob eine Datenschutz-Folgenabschätzung (DSFA) nötig ist – eine strukturierte Risikoanalyse, die die Verordnung vor allem bei neuen Technologien, umfangreichen Bewertungen persönlicher Aspekte und voraussichtlich hohem Risiko fordert. Eine mandantenfähige KI-Ausfüllhilfe kann je nach Datenkategorien, Automatisierungsgrad und Entscheidungsnähe schnell in diese Kategorie kippen. Ob eine DSFA erforderlich ist, sollte die Kanzlei anhand anerkannter Prüfraster dokumentieren – insbesondere mit Blick auf Datenkategorien, Anbieterzugriffe, Hosting, Training und konkreten Anwendungsbetrieb.
Was passiert, wenn dieses Fundament fehlt, führt Kanzlei M. schmerzhaft vor. Ein Mandant – selbst Geschäftsführer eines Medizinbetriebs und entsprechend datenschutzsensibel – verlangt Auskunft: Welche Daten speichert der Steuerlotse, und gehen sie an externe KI-Anbieter? Die Kanzlei kann es nicht beantworten. Der Steuerlotse steht nicht im VVT, die Anwendbarkeit einer DSFA wurde nie geprüft, die Datenschutzhinweise erwähnen den KI-Assistenten mit keinem Wort, und den Plattformvertrag hat niemand systematisch auf Auftragsverarbeitung, Subunternehmer, Drittlandtransfer, Supportzugriffe und Löschung abgeklopft. Eine einzige Mandantenanfrage legt offen, dass die Kanzlei nicht weiß, was ihr eigenes KI-Tool mit fremden Geheimnissen tut.
Für Steuerberater ist KI eben nicht nur ein Datenschutzthema, sondern Berufsrecht. Die Berufsordnung der Bundessteuerberaterkammer (BStBK) verlangt Eigenverantwortlichkeit, Gewissenhaftigkeit und Verschwiegenheit. Der Berufsträger muss sich ein eigenes Urteil bilden – er darf seine Verantwortung nicht sang- und klanglos an eine Maschine, einen Prompt oder einen Plattformanbieter delegieren. Hier sitzt der schärfste Satz dieses Beitrags: Eine KI darf in der Kanzlei vorbereiten, sortieren, plausibilisieren und assistieren. Sie darf niemals zur unsichtbaren Ersatzinstanz steuerberatender Verantwortung werden.
Der zentrale Hebel heißt § 62a StBerG. Danach dürfen Steuerberater Dienstleistern unter bestimmten Voraussetzungen Zugang zu Tatsachen eröffnen, die der Verschwiegenheit unterliegen. Ein bloßer AVV nach Art. 28 DSGVO erledigt dieses Berufsgeheimnisthema nicht automatisch. Was datenschutzrechtlich als nüchterne Auftragsverarbeitung erscheint, kann berufsrechtlich zugleich eine Offenbarung gegenüber einem mitwirkenden Dienstleister sein. Datenschutz und Berufsrecht laufen hier nicht brav nebeneinander her – sie greifen ineinander wie zwei Zahnräder, und wer nur eines schmiert, bringt die Maschine zum Stocken. Die KI-Hinweise der BStBK ziehen dieselbe Linie: Sensible Daten gehören ausschließlich in freigegebene, datenschutzkonforme Systeme, und automatisierte Auswertungen muss am Ende ein Mensch prüfen.
Wenn die Kanzlei KI-Assistenten oder Promptpakete als Zusatzleistung bereitstellt, muss sie klar beschreiben, was Mandanten tatsächlich erhalten: eine Ausfüllhilfe, eine Plausibilisierung, eine technische Unterstützung oder eine steuerliche Leistung. Richtet sie sich an Verbraucher, können die Regeln über digitale Produkte und digitale Dienstleistungen greifen; § 327 BGB bildet dafür das Einfallstor. Dazu treten Preisangabenpflichten, Nutzungsbedingungen, eine klare Leistungsbeschreibung, Mängelrechte und Haftungsbegrenzungen. Und für jedes geschäftsmäßige Webangebot verlangt § 5 DDG (Digitale-Dienste-Gesetz, der Nachfolger der Impressumspflicht des früheren TMG) eine leicht erkennbare, unmittelbar erreichbare Anbieterkennzeichnung.
Das Haftungsthema wird in der Praxis gern unterschätzt – bis es konkret wird. Bei Kanzlei M. tut es das. Ein Mandant, Betreiber eines kleinen IT-Dienstleisters, füttert den Bewirtungs-Assistenten mit Belegen. Der antwortet: "Die vorliegenden Angaben sprechen für eine betriebliche Veranlassung." Der Mandant liest das als grünes Licht. Später zeigt sich: Belege unvollständig, ein Teil der Veranstaltung eher privat. Der entscheidende Disclaimer "Ersetzt keine steuerliche Beratung" stand klein am Seitenende – und niemand hat ihn gelesen. Hinter dem bequemen Satz "Das war doch nur ein Tool" kann sich die Kanzlei nicht dauerhaft verstecken. Sie braucht klare Nutzungsbedingungen, sichtbare Disclaimer, Review-Prozesse, Eskalationswege – und die nüchterne Prüfung, ob Berufshaftpflicht, Cyberversicherung oder Tech-E&O-Risiken solche KI-Leistungen überhaupt abdecken. Entwicklungen im digitalen Haftungsrecht sollte die Kanzlei beobachten; für den konkreten Go-live sind aber zunächst Leistungsbeschreibung, Mandantenkommunikation, fachliche Prüfung und Versicherungsschutz entscheidend.
Kanzlei M. zieht aus den Pannen die richtige Konsequenz: Sie stellt das Projekt nicht ein, sondern führt eine Freigabe vor dem Go-live ein. Am Anfang steht die Frage, die jedes KI-Projekt in der Kanzlei ordnet: Was haben wir hier eigentlich vor uns – ein statisches Formular, ein internes Hilfsmittel, ein KI-System oder ein mandantenseitiges Kanzleiprodukt?
Genau an dieser Einordnung hängt die weitere Prüfung. Denn eine bestehende Datenschutz-Freigabe ersetzt nicht automatisch die Berufsgeheimnis-, KI-VO-, Haftungs- oder Technikprüfung. Mandantenfähige KI braucht deshalb mehrere Freigabeebenen: Vorprüfung und Klassifizierung, Datenschutz, Berufsgeheimnis, KI-VO, Mandantenkommunikation und technische Kontrollen.
Entscheidend ist: Diese Punkte müssen vor der Veröffentlichung dokumentiert beantwortet sein. „Nicht erfasst“, „kein Hochrisikosystem“ oder „nur eine Ausfüllhilfe“ können zulässige Ergebnisse sein – aber sie müssen begründet und nachvollziehbar festgehalten werden.
Die erste und wichtigste Freigabeebene ist die Vorprüfung. Denn bevor Datenschutz, Berufsgeheimnis oder KI-VO im Detail bewertet werden können, muss die Kanzlei wissen, was sie überhaupt bereitstellt: ein statisches Formular, ein KI-System, eine interne Arbeitshilfe oder ein mandantenseitiges Angebot unter eigener Verantwortung.
Diese Vorprüfung muss nicht kompliziert sein. Sie muss aber dokumentiert werden.
Wie konkret das wird, zeigt die wichtigste Änderung bei Kanzlei M. überhaupt – und sie ist sprachlicher Natur. Aus "Diese Kosten sind abzugsfähig" wird "Ihre Angaben enthalten Informationen, die für die spätere steuerliche Prüfung relevant sein können; die abschließende Beurteilung erfolgt durch die Kanzlei." Aus scheinbaren Bewertungen werden Vollständigkeits- und Plausibilitätshinweise. Diese Verschiebung klingt nach Kosmetik, ist aber das Gegenteil: Sie zieht haftungs- und berufsrechtlich die Grenze zwischen assistierender Datenerhebung und steuerlicher Würdigung. Dazu kommen ein eigener VVT-Eintrag, ergänzte Datenschutzhinweise, eine dokumentierte DSFA-Schwellenprüfung, eine systematische Auswertung des Plattformvertrags, ein Freigabeprozess mit Prompt-Versionierung und Testfällen sowie eine kurze, aber wirksame Schulung für Mitarbeitende. Der Leitsatz, den die Kanzlei ihren Mitarbeitenden mitgibt, trifft den Kern der ganzen Debatte: Ein KI-Assistent ist kein Praktikant mit Serveranschluss, sondern ein System, das Grenzen, Kontrolle und Verantwortung braucht.
Der gefährliche Augenblick entsteht nicht erst, wenn eine Kanzlei ihr eigenes KI-Modell trainiert. Er entsteht viel früher – in der Sekunde, in der sie eine KI-gestützte Eingabehilfe, einen Prompt-Assistenten oder ein digitales Vorprüfungs-Tool unter eigenem Namen an Mandanten ausrollt. Ab dann genügt es nicht mehr, ‘ein gutes Tool’ zu haben. Die Kanzlei braucht vor dem Go-live eine dokumentierte Freigabe: fachlich, datenschutzrechtlich, berufsrechtlich, technisch und kommunikativ. Wer KI für Mandanten baut, muss sie wie ein Produkt mit Berufsgeheimnis führen – nicht wie einen netten Prompt. Oder, in der Sprache des Kanzleialltags: Aus einer hilfreichen Eingabemaske wird schneller ein haftungsrelevanter Mandantenprozess, als man "bitte laden Sie Ihre Belege hoch" sagen kann.
Sie planen ein KI-Formular, einen Kanzlei-Chatbot oder einen mandantenseitigen KI-Assistenten? Die Freigabe-Checkliste hilft, die wichtigsten Go-live-Fragen vor der Veröffentlichung zu prüfen: Datenschutz, Berufsgeheimnis, KI-VO-Rolle, Dienstleister, Mandantenkommunikation und technische Schutzmaßnahmen.
Hinweis zur Belastbarkeit: Die folgenden Rechtsquellen dienen als Prüfungseinstieg. Norminhalte sollten vor einer konkreten Freigabe an der amtlichen Primärquelle verifiziert werden. Aufsichts-Orientierungshilfen und Anbieterangaben geben den Stand der Erstellung wieder und können sich geändert haben.
Verordnung (EU) 2024/1689 (KI-VO) – Definitionen von KI-System, Anbieter, Betreiber und Bereitstellung; auch kostenlose Bereitstellung erfasst (intersoft consulting services AG, Gesetzestexte online; Abruf am 25.06.2026) )
Art. 4 KI-VO – Pflicht von Anbietern und Betreibern zur Sicherstellung ausreichender KI-Kompetenz (Quelle: intersoft consulting online-Portal)
Art. 25 KI-VO – Rollenwechsel zum Anbieter bei wesentlicher Veränderung oder Bereitstellung unter eigenem Namen, insbesondere bei Hochrisiko-Systemen (Quelle: intersoft consulting online-Portal)
Art. 50 KI-VO – Transparenzpflichten bei direkter Interaktion natürlicher Personen mit KI (Quelle: intersoft consulting online-Portal)
Art. 5 und 6 DSGVO – Grundsätze und Rechtsgrundlagen der Verarbeitung (Quelle: intersoft consulting online-Portal)
Art. 9 DSGVO – besondere Kategorien personenbezogener Daten (Quelle: intersoft consulting online-Portal)
Art. 13 und 14 DSGVO – Informationspflichten gegenüber betroffenen Personen (Quelle: intersoft consulting online-Portal)
Art. 24 und 25 DSGVO – Verantwortlichkeit, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Quelle: intersoft consulting online-Portal)
Art. 28 DSGVO – Auftragsverarbeitung (Quelle: intersoft consulting online-Portal)
Art. 30, 32, 33, 34 und 35 DSGVO – VVT, Sicherheit der Verarbeitung, Datenschutzverletzungen, Datenschutz-Folgenabschätzung (Quelle: intersoft consulting online-Portal)
DSK-Orientierungshilfe "Künstliche Intelligenz und Datenschutz" (Datenschutzkonferenz)
BayLDA – KI-Checkliste, Trennung von Training, Hosting und Anwendung (lda.bayern.de)
§ 57 StBerG – allgemeine Berufspflichten, insbesondere Verschwiegenheit (Gesetze im Internet)
§ 62a StBerG – Einbindung von Dienstleistern bei berufsgeheimnisgeschützten Informationen (Gesetze im Internet)
§ 203 StGB – strafrechtlicher Schutz fremder Geheimnisse durch Berufsgeheimnisträger (Gesetze im Internet)
Berufsordnung der Bundessteuerberaterkammer – Eigenverantwortlichkeit, Gewissenhaftigkeit, Verschwiegenheit (BStBK)
BStBK-Hinweise zu KI im steuerberatenden Berufsstand (FAQ-Seite, BStBK)
§ 327 ff. BGB – Verträge über digitale Produkte und digitale Dienstleistungen (Gesetze im Internet)
§ 5 DDG (Digitale-Dienste-Gesetz) – Anbieterkennzeichnung für geschäftsmäßige digitale Dienste (Gesetze im Internet)
Richtlinie (EU) 2024/2853 über die Haftung für fehlerhafte Produkte – Ausweitung auf Software und digitale Produkte (EUR-Lex)