KI-Tools in der Steuerkanzlei: Wenn der AVV eine folgenreiche Lücke verbirgt

Auftragsverarbeitungsverträge mit KI-Anbietern suggerieren Rechtssicherheit – doch bei sensiblen Mandantendaten nach Art. 9 DSGVO endet die Mitverantwortung des Anbieters genau dort, wo das eigentliche Risiko beginnt. Was Steuerberater:innen diesbezüglich verstehen und dokumentieren sollten.

Es ist ein vertrautes Bild: Ein Anbieter von KI-gestützten Kanzleisoftwarelösungen übersendet seinen Auftragsverarbeitungsvertrag. Das Dokument ist umfangreich, professionell gestaltet und enthält alle Formalia, die man von einem seriösen Anbieter erwartet. Technische und organisatorische Maßnahmen nach Art. 32 DSGVO sind beschrieben, EU-Hosting ist zugesichert, ein Verweis auf § 203 StGB fehlt selbstverständlich auch nicht. Auf den ersten Blick entsteht der Eindruck: Diese Zusammenarbeit ist datenschutzrechtlich abgesichert.

Bei näherer Betrachtung zeigt sich jedoch, dass dieser erste Eindruck einer kritischen Prüfung nicht standhält.

Die versteckte Klausel, die alles verändert 

Nahezu alle marktgängigen AVV von KI-Anbietern enthalten – mitunter wenig prominent verankert – eine Formulierung, die sinngemäß lautet: Für unbefugte Zugriffe oder Offenlegungen übernimmt der Anbieter keine Haftung, sofern besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO in die Anwendung eingegeben werden. Was klingt wie eine Randnotiz, ist in Wirklichkeit eine weitgehende Risikoverlagerung auf den Verantwortlichen – also auf die Kanzlei.

Das ist kein Versehen. Es entspricht einer in der Praxis häufig anzutreffenden Form des Risikotransfers. Die Anbieter wissen sehr genau, was sie tun, wenn sie ihre Haftung bei den sensibelsten Datenverarbeitungsszenarien ausdrücklich ausschließen. Sie stellen Infrastruktur bereit – und zwar durchaus gute, sorgfältig abgesicherte Infrastruktur. Aber sie übernehmen keine materielle Verantwortung für die rechtliche Zulässigkeit dessen, was in diese Infrastruktur eingespeist wird.

Warum Art. 9 DSGVO kein Technikthema ist  

Hier liegt ein zentraler konzeptioneller Fehler, der sich in der Beratungspraxis immer wieder zeigt: Viele Kanzleiverantwortliche – und nicht selten auch manche Berater – gehen implizit davon aus, dass eine technisch gesicherte Verarbeitungsumgebung auch die datenschutzrechtliche Zulässigkeit der Verarbeitung mit sich bringt. Wenn die Verschlüsselung stimmt, die Zugriffskontrollen greifen und das Hosting in der EU liegt, dann ist doch alles in Ordnung – oder?

Nein. Art. 9 DSGVO ist kein Sicherheitsartikel. Er ist ein Verbot mit Erlaubnisvorbehalt. Das bedeutet: Die Verarbeitung besonderer Kategorien personenbezogener Daten – also Gesundheitsdaten, Informationen zur religiösen oder weltanschaulichen Überzeugung, Daten zur Gewerkschaftszugehörigkeit, genetische und biometrische Daten sowie Angaben zur Sexualität oder ethnischen Herkunft – ist grundsätzlich untersagt. Sie wird erst dann erlaubt, wenn einer der abschließend in Art. 9 Abs. 2 DSGVO aufgezählten Erlaubnistatbestände nachweislich erfüllt ist.

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO sind davon streng zu trennen. Sie können das Risiko einer Datenpanne reduzieren, aber sie begründen keine Verarbeitungserlaubnis. Wer diesen Unterschied nicht verinnerlicht, arbeitet auf einer falschen rechtlichen Ebene und schafft damit eine Compliance-Lücke, die sich im Ernstfall schwer schließen lässt.

Was im Kanzleialltag tatsächlich vorkommt

Man könnte einwenden, dass Steuerberatungskanzleien üblicherweise keine Gesundheitsdaten oder biometrische Informationen verarbeiten. Das klingt plausibel, stimmt in der Praxis aber nur eingeschränkt. 

Gerade bei der Erstellung von Jahresabschlüssen für kleinere Unternehmen, bei der Lohnbuchhaltung oder bei der Beratung von Einzelunternehmern können Informationen in die Kanzleiarbeit einfließen, die unter Art. 9 DSGVO fallen können – etwa Krankenkassenbeiträge und damit implizit Gesundheitsinformationen, Kirchensteuerdaten als Proxy für religiöse Überzeugungen, oder Informationen aus der betrieblichen Altersversorgung, die gesundheitliche Hintergründe erkennen lassen. 

Wenn nun ein KI-Tool eingesetzt wird, das Texte analysiert, Belege auswertet oder Schriftstücke verarbeitet, besteht eine reale Möglichkeit, dass genau diese Datenkategorien in das System eingespeist werden – oft nicht bewusst, oft nicht absichtlich, aber dennoch tatsächlich. Und genau für dieses Szenario hat der Anbieter seine Haftung ausgeschlossen.

Das eigentliche Compliance-Problem: fehlende Dokumentation der Entscheidung

Es reicht also nicht aus, einen AVV zu unterschreiben und auf die darin beschriebenen TOM zu verweisen. Die DSGVO fordert vom Verantwortlichen eine eigenständige, bewusste und — das ist entscheidend – dokumentierte Risikoabwägung. Diese Dokumentationspflicht ergibt sich nicht zuletzt aus dem Rechenschaftsprinzip des Art. 5 Abs. 2 DSGVO: Der Verantwortliche muss nicht nur datenschutzkonform handeln, er muss dies auch nachweisen können.

Was fehlt, ist in vielen Kanzleien ein strukturiertes Entscheidungsprotokoll, das genau diese Abwägung festhält. Ein solches Dokument erfüllt mehrere Funktionen gleichzeitig. Es zwingt die Kanzleileitung dazu, sich bewusst mit der Frage auseinanderzusetzen, welche Datenarten tatsächlich in die KI-Anwendung einfließen. Es dokumentiert die datenschutzrechtliche Einschätzung, insbesondere die Einordnung unter Art. 9 DSGVO und die Prüfung einschlägiger Erlaubnistatbestände.

Es hält die Risikoabwägung fest, die trotz guter TOM verbleibt – denn kein System bietet vollständigen Schutz. Und es legt die Entscheidung des Verantwortlichen nieder, entweder auf die Verarbeitung besonderer Datenkategorien zu verzichten oder sie unter definierten Bedingungen und mit benannten Schutzmaßnahmen durchzuführen.

Letzteres ist keine Kleinigkeit. Eine dokumentierte Negativentscheidung – also die ausdrücklich festgehaltene Entscheidung, keine Art. 9-Daten in das KI-System einzuspeisen – kann im Zweifel eine haftungsabschirmende Wirkung haben. Sie zeigt, dass die Kanzleileitung die Risiken verstanden und aktiv adressiert hat.

Die Beraterperspektive: Drei Ziele, eine Struktur 

Wer als Datenschutzberater Kanzleien in diesem Bereich begleitet, steht vor der Herausforderung, drei mitunter konkurrierende Ziele gleichzeitig zu erreichen.

• Das erste Ziel ist eine klare Empfehlung: Als Grundsatz sollte lauten, keine besonderen Datenkategorien in KI-Anwendungen einzuspeisen, solange kein belastbarer Erlaubnistatbestand nach Art. 9 Abs. 2 DSGVO identifiziert und dokumentiert ist.
• Das zweite Ziel ist die dokumentierte Entscheidungsfreiheit des Mandanten: Letztlich liegt die Entscheidung beim Verantwortlichen, und dieser muss sowohl die Möglichkeit als auch die Last dieser Entscheidung explizit übernehmen.
• Das dritte Ziel ist die Haftungsabschirmung des Beraters selbst: Eine strukturierte, schriftlich fixierte Risikoaufklärung ist der beste Schutz davor, im Nachhinein für eine Entscheidung mitverantwortlich gemacht zu werden, die der Mandant eigenverantwortlich getroffen hat.

Diese drei Ziele lassen sich in einem einzigen, konsistenten Dokument abbilden – einem Entscheidungsprotokoll zur Verarbeitung besonderer Kategorien personenbezogener Daten beim Einsatz von KI-Anwendungen.

Was ein solches Protokoll leisten muss

• Ein rechtssicheres Entscheidungsprotokoll beginnt mit einer nüchternen Sachverhaltsfeststellung:
  Welche KI-Anwendung wird eingesetzt?
  Welche Rolle nimmt der Anbieter als Auftragsverarbeiter ein?
  Welche Einschränkungen – insbesondere der Haftungsausschluss bei Art. 9-Daten – sind im AVV enthalten?
• Der zweite Teil des Protokolls widmet sich der rechtlichen Einschätzung: Die Verarbeitung besonderer Datenkategorien ist grundsätzlich verboten. Eine Erlaubnis ergibt sich nur aus dem abschließenden Katalog des Art. 9 Abs. 2 DSGVO. Die technischen Maßnahmen des Anbieters ändern daran nichts. Zusätzlich sind berufsrechtliche Implikationen zu berücksichtigen – § 203 StGB betrifft das Berufsgeheimnis des Steuerberaters, das durch den Einsatz von KI-Systemen nicht ausgehöhlt werden darf.
• Der dritte Teil bewertet die TOM des Anbieters im Kontext – nicht um die Verarbeitungserlaubnis zu begründen, sondern um die verbleibenden Restrisiken realistisch einzuschätzen. Zugriffskontrollen, Mandantentrennung, Verschlüsselung und Logging sind relevante Parameter. Das Ergebnis dieser Bewertung sollte jedoch stets ehrlich formuliert sein: Das Risiko wird reduziert, kann aber nicht ausgeschlossen werden. Formulierungen wie "Das Risiko ist gering" oder "Bei ausreichenden TOM ist die Nutzung vertretbar" sind zu vermeiden – sie klingen wie Freigaben auf falscher rechtlicher Ebene.
• Im vierten Teil des Protokolls folgt die Empfehlung: Von der Verarbeitung besonderer Datenkategorien in der genannten Anwendung ist grundsätzlich abzusehen.
• Im fünften Teil trifft der Verantwortliche seine eigene, dokumentierte Entscheidung – entweder die Negativ-Entscheidung, die das Thema abschließt, oder die bewusste Entscheidung zur Verarbeitung unter explizit benannten Bedingungen: mit Rechtsgrundlage, Zweckbindung, Schutzmaßnahmen und – sofern erforderlich – einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.

Die DSFA-Frage nicht vergessen

Gerade in Hochrisikoszenarien, die die Verarbeitung besonderer Datenkategorien in KI-Anwendungen potenziell darstellen, ist auch die Frage einer Datenschutz-Folgenabschätzung zu stellen.

Nicht jede Nutzung eines KI-Tools durch eine Steuerberatungskanzlei löst diese Pflicht automatisch aus, aber eine bewusste und dokumentierte Prüfung dieser Frage ist unabdingbar. Ein gutes Entscheidungsprotokoll benennt diesen Punkt ausdrücklich und dokumentiert den Beschluss darüber,

• ob eine DSFA durchgeführt wurde,
• ob sie als nicht erforderlich eingestuft wurde, oder
• ob sie noch vor dem produktiven Einsatz nachzuholen ist.

Kanzleien sollten jetzt handeln

Die Digitalisierung der steuerberatenden Praxis ist unaufhaltsam, und KI-Tools werden dabei eine zentrale Rolle spielen. Das ist keine Bedrohung, sondern eine Chance – sofern der rechtliche Rahmen mitgedacht wird. Wer jetzt investiert, um die datenschutzrechtliche Nutzung von KI-Anwendungen strukturiert und dokumentiert aufzusetzen, schafft die Grundlage für einen wettbewerbsfähigen, rechtskonformen und mandantenorientierten Kanzleibetrieb.

Wer dagegen darauf vertraut, dass der AVV des Anbieters schon ausreichen wird, übersieht, dass genau jene Szenarien, in denen das Risiko am größten ist, vertraglich aus der Verantwortung des Anbieters herausgenommen wurden. Die Verantwortung liegt beim Verantwortlichen – und die Dokumentation dieser Verantwortung ist keine Bürokratie, sondern Selbstschutz.

Dieser Beitrag basiert auf einer von uns entwickelten Entscheidungsprotokoll-Vorlage zur datenschutzrechtlichen Einordnung von KI-Anwendungen in der steuerberatenden Branche. Die Vorlage stellen wir auf Anfrage gerne zur Verfügung. Ebenso beantworten wir Fragen zur Implementierung eines solchen Protokolls – auch im Zusammenhang mit der Prüfung bestehender Auftragsverarbeitungsverträge.