Ein neuer Mandant betritt die Kanzlei. Er wirkt seriös, sein Unternehmen ist gut aufgestellt, die Zahlen stimmen. Was die zuständige Sachbearbeiterin nicht weiß: Sein Name taucht auf der OFAC SDN List auf — in einer leicht abweichenden Schreibweise, die jede manuelle Datenbankabfrage unentdeckt passiert hätte. Ein KI-gestütztes Screening-Tool findet die Übereinstimmung in drei Sekunden. Drei Sekunden, die den Unterschied machen zwischen einem Befähigungszeugnis und einem Bußgeldbescheid der Steuerberaterkammer.
Das ist kein hypothetisches Szenario. Es ist die tägliche Realität moderner Steuerberatungskanzleien — und der Ausgangspunkt einer regulatorischen Transformation, die viele noch unterschätzen. KI-gestützte Screening-Tools analysieren heute in Sekunden Sanktionslisten mehrerer Rechträume, durchsuchen strukturierte und unstrukturierte Medienquellen auf belastende Berichterstattung, identifizieren wirtschaftlich Berechtigte über verschachtelte Beteiligungsstrukturen hinweg und liefern eine verdichtete Risikoersteinschätzung als Entscheidungsgrundlage. Gleichzeitig verdichten sich die regulatorischen Anforderungen: Das deutsche Geldwäschegesetz (GwG), die neue EU-Geldwäscheverordnung (AMLR), die DSGVO und — zunehmend relevant — die EU-KI-Verordnung (KI-VO) spannen gemeinsam einen Rahmen auf, der Effizienzgewinne durch KI nur dann erlaubt, wenn Transparenz, menschliche Aufsicht und Datenschutz strukturell verankert sind. Dieser Artikel beschreibt, wie ein konformer KI-gestützter KYC-Prozess konzipiert werden kann, welche rechtlichen Leitplanken gelten und wo die unverrückbare Grenze des menschlichen Urteils liegt.
Steuerberater sind gemäß § 2 Abs. 1 Nr. 12 GwG ausdrücklich verpflichtete Personen im Sinne des deutschen Geldwäschegesetzes. Wer als Steuerberater oder Steuerberatungsgesellschaft Steuerberatung, Buchführung, Treuhandleistungen oder Gründungsberatung erbringt, unterliegt den Sorgfaltspflichten des Gesetzes.
Dazu gehören: die Identifizierung des Vertragspartners, die Feststellung des wirtschaftlich Berechtigten, die Klärung von Hintergrund und Zweck der Geschäftsbeziehung sowie die kontinuierliche Überwachung des Mandatsverhältnisses (§ 10 Abs. 1 GwG).
Klassische KYC-Prozesse, also die Pflicht zur Kenntnis des Mandanten — leiden unter einem strukturellen Missverhältnis: Das Datenvolumen, das verlässliche Risikobewertung erfordert, übersteigt die manuelle Bearbeitungskapazität einer aktiven Kanzlei bei weitem. Eine mittelständische Kanzlei, die täglich mehrere potenzielle Mandate prüft, muss Transparenzregister, EU-Sanktionslisten, PEP-Datenbanken, Handelsregisterauszüge und negative Pressemeldungen auswerten. Das Ergebnis: Dieselbe Recherchekonstellation erhält je nach Bearbeiter unterschiedliche Bewertungen, Zeitdruck führt zu oberflächlichen Abfragen, und die dokumentierte Nachvollziehbarkeit bleibt hinter den gesetzlichen Anforderungen zurück.
Hinzu kommt: Die Steuerberaterkammern prüfen die Qualität der GwG-Umsetzung zunehmend kritisch. Wer bei einer Prüfung lückenhaft dokumentierte Mandatsannahmeprozesse vorlegt, riskiert nicht nur Bußgelder, sondern Reputationsschäden, die sich in einer auf Vertrauen basierenden Branche kaum in Euro ausdrücken lassen. Genau hier setzt KI an: nicht als Ersatz für fachliches Urteil, sondern als Instrument zur strukturierten Datenerfassung, Mustererkennung und Risikokomprimierung.
Moderne KI-gestützte Screening-Plattformen kombinieren regelbasierte Filterlogiken mit maschinellen Lernmodellen. In der Praxis bauen drei Funktionsebenen aufeinander auf.
Das System gleicht die Angaben des potenziellen Mandanten — Name, Geburtsdatum, Nationalität, Unternehmenssitz — gegen eine Vielzahl strukturierter Datenquellen ab: EU-Sanktionslisten, UN-Sanktionsregime, OFAC SDN List (US-amerikanische Sanktionsliste des Office of Foreign Assets Control), nationale PEP-Listen (Politically Exposed Persons, also politisch exponierte Persönlichkeiten) sowie das deutsche Transparenzregister und Handelsregister relevanter Jurisdiktionen. Fuzzy-Matching-Algorithmen — Verfahren, die auch ähnliche, nicht identische Zeichenketten erkennen — fangen Schreibvarianten, Transkriptionsfehler und Aliasnamen ab, die starre Zeichenkettenvergleiche unentdeckt lassen. Das Ergebnis: ein strukturiertes Trefferset mit jeweiligem Konfidenzwert.
Natural-Language-Processing-Modelle (NLP; KI-Systeme zur Sprachverarbeitung) durchsuchen Nachrichtendatenbanken, Gerichtsentscheide, Behördenmitteilungen und öffentlich zugängliche Quellen nach Verbindungen des Mandanten zu den Risikokategorien Geldwäsche, Korruption, Steuerhinterziehung, Sanktionsumgehung und organisierter Kriminalität.
Die eigentliche Herausforderung liegt in der Trennschärfe (Disambiguierung) — also der verlässlichen Trennung von Namensträgern mit identischen oder ähnlichen Angaben. Ein Modell, das nicht zuverlässig zwischen einem unbescholtenen Unternehmer und einem gleichnamigen sanktionierten Akteur unterscheidet, produziert entweder zu viele False Positives (falsche Alarme) oder zu viele False Negatives (übersehene Treffer). Beide Fälle sind im Compliance-Kontext problematisch und können im Ernstfall die Pflicht zur Meldung bei der Financial Intelligence Unit (FIU) berühren.
Das System aggregiert die Treffer der ersten beiden Ebenen und gewichtet sie anhand eines vordefinierten Risikomodells, das branchenspezifische Faktoren, geografische Risikoindikatoren (etwa Verbindungen zu Hochrisikodrittstaaten gemäß der EU-Delegierten-Verordnung 2016/1675), Unternehmensstrukturkomplexität und die Qualität negativer Informationen berücksichtigt. Das Ergebnis ist eine Risikoeinstufung — typischerweise in den Kategorien niedrig, mittel, erhöht und hoch — die dem menschlichen Prüfer als Ausgangspunkt dient.
Hier liegt der entscheidende Punkt, den viele Anbieter in ihrer Vermarktung absichtlich unschärfen: Das Risikoscoring ist ein Startpunkt, kein Endpunkt. Es überträgt keine Entscheidungsverantwortung. Es verdichtet Daten — Entscheiden bleibt Menschensache.
Der Einsatz von KI im KYC-Prozess ist kein regulatorisches Vakuum. Drei Rechtsrahmen greifen ineinander und setzen jeweils eigene Anforderungen.
Das GwG verpflichtet Steuerberater in § 6 Abs. 1 GwG dazu, angemessene geschäfts- und kundenbezogene Sicherungssysteme zu unterhalten, die dem Risiko der Geldwäsche und Terrorismusfinanzierung entsprechen. Ein KI-gestütztes Screening-Tool kann ein solches Sicherungssystem technisch unterstützen — vorausgesetzt, es ist in ein übergreifendes Risikomanagement eingebettet, das auch eine interne Risikoanalyse gemäß § 5 GwG sowie interne Grundsätze, Verfahren und Kontrollen gemäß § 6 GwG umfasst.
Die Pflicht zur Identifizierung des wirtschaftlich Berechtigten ergibt sich aus § 10 Abs. 1 Nr. 2 GwG; KI-Systeme, die Beteiligungsstrukturen automatisch aufschlüsseln, erleichtern deren Erfüllung erheblich. Die abschließende Plausibilitätsprüfung — also die Entscheidung über die Glaubwürdigkeit der erlangten Informationen — liegt gemäß § 11 Abs. 5 GwG beim verantwortlichen Berufsträger. Zusätzlich sind die Schwellenwerte für vereinfachte und verstärkte Sorgfaltspflichten gemäß §§ 14 und 15 GwG im Blick zu behalten: Ein KI-Score allein ersetzt nicht die Prüfung, ob die gesetzlichen Tatbestandsvoraussetzungen für verstärkte Maßnahmen — etwa bei politisch exponierten Personen oder Mandanten mit Verbindungen zu Hochrisikodrittstaaten — erfüllt sind.
Die EU-Geldwäscheverordnung (AMLR, Anti-Money Laundering Regulation), die sukzessive ab 2027 anwendbar wird und die bisherigen Geldwäsche-Richtlinien ablöst, wird den risikobasierten Ansatz europaweit einheitlich und unmittelbar verbindlich festschreiben. Sie kodifiziert Risikofaktoren, die bei der Bewertung von Geschäftsbeziehungen zu berücksichtigen sind, und erhöht die Anforderungen an Dokumentation und Nachvollziehbarkeit von Risikoentscheidungen. Für Steuerberater bedeutet das konkret: Die Risikomodelle ihrer KI-Systeme müssen mit den in der AMLR normierten Risikoindikatoren konsistent sein und regelmäßig auf Aktualität überprüft werden.
Ein Score, der auf veralteten oder unvollständigen Gewichtungsparametern basiert, bietet keinen regulatorischen Schutz. Im Gegenteil: Er wiegt die Sorgfaltspflicht in falscher Sicherheit — eine Kombination, die Aufsichtsbehörden erfahrungsgemäß besonders kritisch bewerten.
Die DSGVO greift, sobald personenbezogene Daten natürlicher Personen verarbeitet werden — also bei nahezu jedem KYC-Vorgang mit natürlichen Personen als Vertragspartner oder wirtschaftlich Berechtigten. Zwei Anforderungen sind für den KI-Einsatz besonders relevant.
Die KI-VO ist für Steuerberatungskanzleien kein abstraktes Zukunftsthema mehr. Systeme, die zur Risikobeurteilung natürlicher Personen im Kontext von Finanz- oder Geschäftsentscheidungen eingesetzt werden, können je nach Einsatz als Hochrisiko-KI-Systeme im Sinne des Anhangs III KI-VO eingestuft werden. Für solche Systeme gelten erhöhte Anforderungen: ein Risikomanagementsystem, technische Dokumentation, Datenqualitätsvorgaben, Transparenz gegenüber Betroffenen und menschliche Aufsicht als strukturelle Pflicht.
Kanzleien, die KI-gestützte Scoring-Tools einsetzen, agieren als Betreiber im Sinne von Art. 26 KI-VO und unterliegen entsprechenden Pflichten: Sie müssen sicherstellen, dass das eingesetzte System dem vorgesehenen Verwendungszweck entspricht, die Ausgaben des Systems einer menschlichen Aufsicht unterliegen und Vorfälle dokumentiert werden.
Die Analogie zur ISO 27001 liegt hier nahe: So wie ein Informationssicherheits-Managementsystem (ISMS) nicht durch einen einmaligen Zertifizierungsaudit fertiggestellt ist, sondern kontinuierliche Überprüfung und Anpassung verlangt, verlangt die KI-VO von Betreibern eine dauerhaft aktive Governance-Funktion — keine einmalige Projektimplementierung. Die Verzahnung von AML-Recht und KI-Regulierung macht eine strukturierte Prüfung dieser Betreiberpflichten zur unverzichtbaren Komponente moderner Kanzlei-Compliance.
Ein regulatorisch robuster KI-gestützter KYC-Ablauf folgt einem Vier-Phasen-Modell, das technische Leistungsfähigkeit mit rechtlicher Kontrollverantwortung verbindet.
Nach Eingang der Mandatsanfrage führt das KI-System eine vollständige Datenabfrage durch: Sanktionslisten, PEP-Datenbanken, Transparenzregister, Handelsregister, Beteiligungsstrukturanalyse und Medienscreening. Das System vergibt für jede Risikodimension einen Teilscore und aggregiert diese zu einem Gesamtrisikoscore mit priorisiertem Trefferreport. Entscheidend ist, dass dieser Score nicht für sich alleinsteht: Der menschliche Prüfer erhält eine nachvollziehbare Begründung — welche Datenquellen haben wie zum Score beigetragen.
Ein qualifizierter Mitarbeitender oder der verantwortliche Berufsträger analysiert den Trefferreport. Bei niedrigem Risikowert ohne qualifizierte Treffer gibt er die Mandatsannahme mit dokumentierter Begründung frei.
Bei mittlerem oder erhöhtem Risikowert sind erweiterte Abklärungen erforderlich: Einholung zusätzlicher Unterlagen, Befragung des Mandanten zu Beteiligungsstrukturen oder Geschäftstätigkeit, gegebenenfalls Konsultation des Geldwäschebeauftragten der Kanzlei.
Liegt ein meldepflichtiger Verdacht im Sinne des § 43 GwG vor, ist eine Meldung gegenüber der FIU zu erstatten. Die Entscheidungsverantwortung liegt in dieser Phase ausschließlich beim Menschen.
Die gesamte Prüfungshistorie wird revisionssicher gespeichert: automatisierter Score mit Zeitstempel und Datenquellenverweis, menschliche Beurteilung mit Begründung, eingeholte Unterlagen und etwaige Rückfragen. Die Aufbewahrungspflicht gemäß § 8 GwG beträgt in Deutschland fünf Jahre; die Dokumentation muss jederzeit für Aufsichtsbehörden abrufbar sein.
Das KI-System sorgt dafür, dass Veränderungen im Risikoprofil bestehender Mandanten automatisch erkannt und eskaliert werden: neue Sanktionslisteneinträge, veränderte Beteiligungsstrukturen, belastende Medienberichte im laufenden Mandatsverhältnis. Diese kontinuierliche Überwachungspflicht verankert § 10 Abs. 1 Nr. 5 GwG ausdrücklich gesetzlich — manuell ist sie für eine aktive Kanzlei kaum zuverlässig leistbar.
KI-gestützte Screening-Tools sind für Steuerberatungskanzleien ein leistungsfähiges Mittel zur Verbesserung von Qualität, Konsistenz und Geschwindigkeit der Mandatsprüfung. GwG- und DSGVO-konform einsetzen lassen sie sich, wenn vier Bedingungen erfüllt sind:
Kanzleien, die diesen Rahmen konsequent umsetzen, gewinnen mehr als regulatorische Robustheit: Sie schaffen ein Mandatsannahmeverfahren, das Qualität, Rechenschaftspflicht und berufsrechtliche Sorgfalt nicht als Bürde verwaltet — sondern als Kompetenz demonstriert.
Wer jetzt noch zögert, sollte sich eine unbequeme Frage stellen: Nicht ob KI in den Mandatsannahmeprozess einzieht — das ist längst entschieden. Sondern wer die Bedingungen setzt: die Kanzlei. Oder die Kammer.