Die Diskussion um Künstliche Intelligenz in Unternehmen wird von zwei Begriffen dominiert, die häufig unscharf verwendet werden: KI-VO-Compliance und KI-Governance. Auf den ersten Blick wirken beide Konzepte ähnlich – beide versprechen Ordnung, Sicherheit und Kontrolle im Umgang mit KI. Bei näherer Betrachtung zeigt sich jedoch eine klare funktionale Trennung. Wer diese nicht versteht, baut entweder ein überbürokratisches, aber wirkungsloses Kontrollsystem – oder ein strategisch ambitioniertes, aber rechtlich angreifbares Konstrukt.
KI-VO-Compliance: Die regelkonforme Antwort auf externen Druck
KI-VO-Compliance ist die strukturierte Antwort auf externe Anforderungen. Sie entsteht nicht aus unternehmerischer Kreativität, sondern aus regulatorischem Druck. Der Maßstab ist nicht Effizienz oder Innovation, sondern Gesetzeskonformität. Im europäischen Kontext sind dies insbesondere die Vorgaben aus der KI-Verordnung (KI-VO), ergänzt durch datenschutzrechtliche Anforderungen aus der DSGVO sowie branchenspezifische Regelwerke. KI-VO-Compliance operiert entlang einer klaren Logik: Identifiziere regulatorische Pflichten, implementiere geeignete Kontrollen und dokumentiere deren Einhaltung so, dass diese Aspekte gegenüber Aufsichtsbehörden oder Auditoren nachgewiesen werden können.
Diese Logik ist jedoch eine defensive Haltung. Sie fragt nicht, ob eine KI-Anwendung sinnvoll, sondern ob sie zulässig ist. Typische Artefakte sind Risikoklassifizierungen, technische Dokumentationen, Transparenzmechanismen oder Nachweise über menschliche Aufsicht. "KI-VO-Compliance" ähnelt damit etablierten Disziplinen wie Datenschutz oder Informationssicherheit: Es geht um Kontrollframeworks, Nachweisführung und Auditierbarkeit. Der implizite Leitsatz lautet: "Handle regelkonform – und sei jederzeit in der Lage, dies zu belegen."
"KI-Governance" setzt an einem völlig anderen Punkt an. Sie ist nicht primär durch Regulierung motiviert, sondern durch die Notwendigkeit, ein komplexes, potentiell risikobehaftetes und zugleich hochgradig wertschöpfendes Instrument systematisch zu steuern. Governance ist kein Kontrollinstrument im engeren Sinne, sondern ein Managementsystem. Sie definiert, wie Entscheidungen rund um KI getroffen werden, wer Verantwortung trägt, welche Prozesse gelten und welche strategischen Leitplanken einzuhalten sind.
Während KI-VO-Compliance fragt "Was müssen wir tun, um rechtlich auf der sicheren Seite zu sein?", stellt KI-Governance die weitergehende Frage: "Wie setzen wir KI so ein, dass sie nachhaltig Wert schafft, ohne die Organisation zu destabilisieren?"
Diese Perspektive ist proaktiv, nicht reaktiv. Sie integriert Aspekte wie Use-Case-Selektion, Priorisierung von Initiativen, Modell-Lifecycle-Management, Performance-Monitoring und ethische Leitlinien. Governance schafft damit ein betriebliches Betriebssystem für KI – eine Steuerungsarchitektur, die sicherstellt, dass einzelne Anwendungen nicht isoliert entstehen, sondern in ein konsistentes Gesamtbild eingebettet sind.
Ein Unternehmen, das sich ausschließlich auf KI-VO-Compliance konzentriert, erfüllt alle regulatorischen Anforderungen: Es dokumentiert seine KI-Systeme, bewertet Risiken, implementiert Mindestkontrollen und stellt Transparenz sicher. Formal ist es zunächst regulatorisch besser abgesichert. Operativ jedoch bleibt ein Vakuum – es fehlen klare Zuständigkeiten, strukturierte Entscheidungsprozesse und eine übergreifende Strategie. Die Folge kann ein Flickenteppich aus Einzelanwendungen sein, deren Nutzen begrenzt und deren Risiken nur punktuell adressiert sind.
Ein Unternehmen mit ausgereifter KI-Governance hingegen definiert zunächst, in welchen Bereichen KI eingesetzt werden soll und wo bewusst darauf verzichtet wird. Es etabliert Rollenmodelle – etwa für fachliche Verantwortliche, technische Betreiber und "Risk Owners" –, schafft Entscheidungsgremien für kritische Anwendungsfälle und verankert Prozesse in bestehenden Managementsystemen wie ISO 27001 oder unternehmensweiten Risikostrukturen. In einem solchen Umfeld entsteht nicht nur Rechtssicherheit, sondern auch Steuerungsfähigkeit.
Das Verhältnis lässt sich präzise beschreiben: KI-Governance ist das tragende System, KI-VO-Compliance ist idealerweise ein Ergebnis dieses Systems. Compliance ohne Governance ist langfristig nicht tragfähig – Kontrollen, die nicht in stabile Prozesse eingebettet sind, verlieren früher oder später ihre Wirksamkeit. Governance ohne Compliance hingegen ist rechtlich blind. Ein ausgefeiltes Steuerungsmodell verliert seinen Wert, wenn es regulatorische Anforderungen ignoriert oder falsch interpretiert. Unternehmen, die diesen Zusammenhang verstehen, verschieben ihren Fokus von isolierten Pflichtübungen hin zu integrierten Managementansätzen.
Für Steuerberater und Kanzleien in Deutschland ist zunächst die Rollenfrage zentral. Die KI-VO unterscheidet zwischen "Provider" (Anbieter) und "Deployer" (Betreiber); die Bundessteuerberaterkammer weist darauf hin, dass Steuerberater, die KI eigenverantwortlich in der Kanzlei nutzen, in der Regel als Deployer bzw. Betreiber einzustufen sind. Wer Standardfunktionen von DATEV, Microsoft, OpenAI oder ähnlichen Anbietern nutzt, befindet sich typischerweise auf der Deployer-Seite.
KI-VO-Compliance fragt dann: Welche Pflichten löst ein konkreter Use-Case aus? Besonders relevant ist Art. 4 KI-VO, der seit dem 2. Februar 2025 anwendbar ist und von Anbietern und Betreibern verlangt, ein ausreichendes Maß an KI-Kompetenz sicherzustellen. Nach der Auslegung der EU-Kommission kann dies auch die Nutzung allgemeiner KI-Systeme wie ChatGPT zum Texten oder Übersetzen erfassen – allerdings risikoorientiert und kontextbezogen. Einen förmlichen KI-Beauftragten, ein Governance-Board oder Zertifikate verlangt Art. 4 nicht; interne Nachweise über Schulungen und Leitlinien sind jedoch sinnvoll.
Die Einstufung von Steuerberatern und Kanzleien als "Deployer" aus KI-VO-Compliance-Sicht bedeutet, dass sie keine eigenen Modelle entwickeln, sondern bestehende Systeme in ihre Arbeitsprozesse integrieren. Die Einstufung als Hochrisiko-KI-System nach der KI-VO richtet sich dabei nicht nach der Branche, sondern nach dem konkreten Verwendungszweck des Systems. Anwendungsfälle wie Entwurfsassistenz, interne Recherche oder Belegklassifikation fallen in diesem Deployer-Kontext in der Regel nicht unter die Hochrisiko-Kategorien des Anhangs III der KI-VO – etwa Beschäftigungsmanagement, Kreditwürdigkeitsprüfung oder Rechtspflege.
Compliance-Pflichten entstehen jedoch auf einer anderen Ebene: Sobald KI in der Mandantenkommunikation eingesetzt wird, müssen Betroffene erkennen können, dass sie mit einem KI-System interagieren – diese Transparenzpflicht greift nach aktuellem Rechtsstand ab August 2026. Gleichzeitig löst jede Verarbeitung personenbezogener Mandantendaten durch einen KI-Dienst datenschutzrechtliche Informationspflichten aus. Beide Anforderungen sind Compliance-Fragen: Sie definieren, was offenzulegen ist und wann.
Daraus folgt jedoch kein Freifahrtschein für die interne Governance. Denn was regulatorisch kein Hochrisiko-System darstellt, kann kanzleispezifisch dennoch höchste Sensibilität aufweisen: Mandatsgeheimnisse, personenbezogene Mandantendaten, Qualitäts- und Haftungsrisiken bei KI-gestützten Arbeitsergebnissen. Governance regelt den operativen Rahmen, der Compliance erst umsetzbar macht – konkret: Hinweistexte gegenüber Mandanten, Eskalationswege bei Grenzfällen, Freigabegrenzen für KI-Ausgaben und eine klare Zweckbegrenzung im Umgang mit Mandantendaten. Effektive KI-Governance bedeutet deshalb, eine eigene, auf das Kanzleirisiko zugeschnittene Klassifizierung zu entwickeln – die dort ansetzt, wo die KI-VO keine spezifisch kanzleibezogene Steuerungslogik vorgibt.
Um das Zusammenspiel beider Disziplinen greifbar zu machen, lohnt sich ein Blick auf eine konkrete Situation. Eine Kanzlei mit 20 Mitarbeitenden, drei Berufsträgern, Schwerpunkte in Jahresabschluss, Lohnbuchhaltung und steuerlicher Gestaltungsberatung – stand vor einer Frage, die viele vergleichbare Kanzleien bewegt: Wie geht man mit KI um, wenn der regulatorische Druck wächst, der Nutzen offensichtlich, aber die Risiken schwer einzuschätzen sind?
Die ersten Impulse kamen von außen: Mehrere Mitarbeitende nutzen ChatGPT privat und bringen die Gewohnheit ins Büro. Ein Berufsträger bemerkte, dass in einem Entwurfstext versehentlich ein Mandantenname erschien, der zuvor in einer Anfrage an das Sprachmodell verwendet worden war. Die Kanzlei hatte keine einheitliche Regelung, kein Verzeichnis und keine klare Verantwortung – wohl aber Haftungsbewusstsein und den Wunsch, KI sinnvoll einzusetzen, statt sie zu verbieten.
Genau hier beginnt die Unterscheidung zwischen Compliance und Governance zu wirken. Der erste regulatorische Reflex wäre: Was müssen wir tun? Art. 4 KI-VO verpflichtet die Kanzlei sicherzustellen, dass alle Mitarbeitenden, die KI einsetzen, über ein hinreichendes Maß an KI-Kompetenz verfügen. Das gilt – nach Auffassung der EU-Kommission – bereits für den einfachen Einsatz eines allgemeinen Sprachmodells zum Texten. Die Kanzlei muss also zunächst prüfen, welche Tools tatsächlich im Einsatz sind, und dann sicherstellen, dass die entsprechende Basisschulung dokumentiert stattfindet. Das ist KI-VO-Compliance – notwendig, aber nicht hinreichend.
KI-Governance setzt an diesem Punkt ein und fragt: Wie soll die Kanzlei mit KI grundsätzlich umgehen? Eine praktikable Antwort beginnt mit einer Tool-Inventur. Die drei Berufsträger erarbeiten gemeinsam eine Liste aller KI-gestützten Anwendungen – von der DATEV-integrierten Belegprüfung über Microsoft Copilot bis zu den privat genutzten Chatbots. Diese Liste ist nicht nur ein Governance-Instrument, sondern bildet auch die Grundlage für die Compliance-Dokumentation.
Im nächsten Schritt definiert die Kanzlei intern Datenkategorien und legt fest, welche Kategorie in welchem Tool verarbeitet werden darf. Mandantenidentifizierende Daten – Name, Steuernummer, konkrete Beträge – dürfen nur in vertraglich eingebundenen, datenschutzrechtlich abgesicherten Systemen verarbeitet werden. Allgemeine Rechercheaufgaben, Textvorlagen oder Formulierungshilfen ohne Mandantenbezug sind für zugelassene Modelle freigegeben. Diese Unterscheidung ist kein Zufall und keine Schikane: Sie ist die Governance-Antwort auf das Datenschutzrecht und das Mandatsgeheimnis gleichzeitig.
Personell verteilte die Kanzlei Verantwortlichkeiten, ohne einen eigenen KI-Beauftragten zu benennen, da hierzu hinsichtlich der Kanzleigröße keine Notwendigkeit bestand. Eine Berufsträgerin übernahm die Rolle der Tool-Verantwortlichen: Sie entscheidet über Freigaben neuer Systeme, überprüft die Dokumentation halbjährlich und ist erste Ansprechpartnerin bei Vorfällen. Diese Rollenverteilung ist Governance; der Freigabeprozess selbst kann zugleich ein hilfreicher Baustein zur Dokumentation der KI-Kompetenzmaßnahmen nach Art. 4 KI-VO sein.
Besondere Aufmerksamkeit verdient die Frage der Mandantenkommunikation. Die Kanzlei unseres Use-Cases erwägte, Standardanfragen – etwa zu Einreichungsfristen oder Belegchecklisten – mit einem KI-gestützten E-Mail-Assistenten zu beantworten. Aus Compliance-Sicht ist klar: Sobald Mandanten direkt mit einem KI-System interagieren und dies nicht offensichtlich ist, greifen ab August 2026 die Transparenzpflichten der KI-VO. Die Kanzlei musste also einen entsprechenden Hinweis in automatisierte Antworten integrieren. Aus Governance-Sicht geht die Frage noch tiefer: Wo liegt die Grenze zwischen einer Standardantwort und einer fachlichen Einschätzung, die zwingend menschliche Prüfung erfordert? Die Kanzlei legte fest, dass jede KI-generierte Antwort mit steuerlichem Bezug vor dem Versand von einem Berufsträger freizugeben ist. Der KI-Assistent unterstützt – er entscheidet nicht.
Auch das Recruiting zeigt den Unterschied in der Praxis. Die Kanzlei plante, eine neue Fachkraft einzustellen und erwägte den Einsatz eines KI-Tools zur Vorauswahl von Bewerbungsunterlagen. Hier ist besondere Vorsicht geboten: Bestimmte KI-Systeme zur Selektion und Bewertung von Bewerbern im Beschäftigungskontext gelten als hochriskant. In diesem Fall greifen umfangreiche Compliance-Pflichten, insbesondere zu menschlicher Aufsicht, laufendes Monitoring, und Dokumentation.
Governance hingegen stellt die vorgelagerte Frage: Ist der Einsatz eines solchen Tools für eine Kanzlei dieser Größe überhaupt verhältnismäßig? Die Antwort lautete hier nein – der Aufwand für regelkonformen Betrieb hätte den Nutzen überstiegen. Die Kanzlei verzichtete auf das Tool und dokumentierte diese Entscheidung. Auch das ist Governance.
Nach sechs Monaten steht die Kanzlei deutlich besser da als zu Beginn. Sie hat ein KI-Verzeichnis, das alle eingesetzten Systeme mit Zweck, Datenkategorie, Verantwortlichen und Schulungsnachweis erfasst. Sie hat interne Leitlinien, die Mitarbeitende verbindlich kennen. Und sie hat operative Regeln, die nicht auf dem Papier stehen, sondern in der täglichen Arbeit gelebt werden. Das Ergebnis ist nicht primär regulatorische Absicherung – obwohl diese mitgeliefert wird. Es ist vor allem: Klarheit darüber, wie die Kanzlei mit KI arbeitet, und Vertrauen, dass dabei Mandatsgeheimnis, Haftung und Qualität gewahrt bleiben.
Governance als Fundament – nicht als Kür
Für Steuerberater und Kanzleien umfasst KI-Governance typischerweise: ein KI-Verzeichnis aller Tools und Use-Cases, interne Dokumentationsstufen, benannte Verantwortliche je Tool, Freigabe- und Beschaffungsprozesse, Rollen- und Rechtemanagement, Regeln für Prompts und Datenkategorien, menschliche Endkontrolle sowie Incident- und Korrekturprozesse.
Kanzleien und Steuerberater tragen für ihre Arbeitsergebnisse persönlich die Verantwortung – das ändert sich auch dann nicht, wenn KI bei der Erstellung beteiligt war. KI ist Hilfsmittel, nicht Entscheider. Daraus ergibt sich in der Praxis eine einfache Grundregel: Ein Mensch prüft, ein Mensch zeichnet ab. Konkret heißt das:
Der Einstieg in das Thema erfolgt für viele Kanzleien über den Compliance-Pfad – weil der regulatorische Druck unmittelbar spürbar ist und konkrete Handlungspflichten erzeugt. Mittel- bis langfristig entscheidet jedoch die Qualität der Governance darüber, ob KI zu einem kontrollierten Werttreiber wird oder zu einer schwer beherrschbaren Risikozone. Wer lediglich die regulatorischen Mindestanforderungen erfüllt, wird zwar kurzfristig bestehen, aber strategisch zurückfallen. Wer Governance als Fundament begreift, schafft die Voraussetzungen für Skalierung, Effizienz und nachhaltige Innovationsfähigkeit – und liefert Compliance als natürliches Nebenprodukt mit.
Am Ende lässt sich der Unterschied auf eine klare Formel bringen: KI-VO-Compliance beantwortet die Frage, unter welchen Bedingungen und Auflagen eine Kanzlei KI einsetzen darf. KI-Governance entscheidet, wie sie es sicher, verantwortbar und dauerhaft tut. Für Steuerberater sollte Governance demnach nicht als optionale Ergänzung verstanden werden – sie ist der betriebliche Rahmen, der KI-VO-Compliance, DSGVO und Berufsrecht handhabbar macht.