Praxiswissen auf den Punkt gebracht.
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww
  • · Fachbeitrag · Künstliche Intelligenz und Kanzlei

    KI in der Steuerkanzlei – was die neuen BStBK-FAQ wirklich verlangen

    von RA/FA StR Dr. Dario Arconada, LL.M. (Taxation), Hannover

    Die neuen FAQ der BStBK zum Einsatz von Künstlicher Intelligenz in der Steuerkanzlei definieren konkrete Organisationspflichten, Haftungsmaßstäbe und Qualitätsanforderungen. Dieser Beitrag zeigt, welche Überlegungen dahinterstehen, welche typischen Fehlannahmen in der Praxis bestehen und wie Kanzleien KI rechtssicher, effizient und strategisch sinnvoll einsetzen. Zugleich werden zentrale Anforderungen aus Berufsrecht und Datenschutz verständlich eingeordnet.

    KI unter der Verantwortung der Menschen in der Kanzlei

    Die BStBK formuliert den Ausgangspunkt klar: KI ersetzt nicht die steuerliche Expertise, sondern verstärkt sie. Richtig eingesetzt kann sie Routinen beschleunigen, Recherchen verdichten, Entwürfe vorbereiten und komplexe Informationen strukturieren. Die Verantwortung für das Arbeitsergebnis verbleibt aber stets beim Menschen. Genau darin liegt der eigentliche Kern der FAQ: Nicht in die Frage, ob KI in die Kanzlei kommt, sondern unter welchen organisatorischen Bedingungen sie dort rechtssicher, qualitätsgesichert und wirtschaftlich tragfähig eingesetzt werden kann. Erfolgreiche Kanzleientwicklung entsteht nicht durch einzelne Funktionen, sondern durch Prozessklarheit, Rollenlogik, Messbarkeit und Compliance.

     

    MERKE — KI funktioniert in der Steuerkanzlei nicht deshalb gut, weil ein Modell sprachlich stark ist, sondern weil die Kanzlei Verantwortlichkeiten, Prüfpfade, Datenregeln und Dokumentation beherrscht.

     

    Der FAQ-Katalog definiert KI breit und unterscheidet zwischen nicht-generativer und generativer KI. Für die Kanzleipraxis ist aber weniger die Definition entscheidend als vielmehr die Nutzungslogik: KI darf in Recherche, Vorstrukturierung, Textentwürfen, Zusammenfassungen, Belegverarbeitung, Prognose- und Planungsaufgaben sowie in organisatorischen Randprozessen hilfreich sein. Sie ersetzt jedoch weder die fachliche Subsumtion noch die Verantwortung des Berufsträgers. Die FAQ stellen ausdrücklich klar, dass KI probabilistisch arbeitet und deshalb Halluzinationen, Verkürzungen oder Verzerrungen produzieren kann. Gerade deshalb bleibt das Vier-Augen-Prinzip essenziell.

     

    Diese Aussage ist für die Praxis wichtiger, als sie auf den ersten Blick wirkt. Denn viele Fehlentwicklungen beginnen nicht mit einem spektakulären Rechtsverstoß, sondern mit einem schleichenden Rollenfehler: Aus einem Entwurf wird faktisch ein Ergebnis, aus einer Vorrecherche eine vermeintlich verlässliche Rechtsauskunft und aus einem sprachlich glatten KI-Text ein ungeprüft versandtes Mandantenschreiben. Genau hier ziehen die FAQ die Grenze.

     

    Beispiele zum sinnvollen KI-Einsatz

    1. Recherche zu einer Umwandlungsfrage

    Eine Mitarbeiterin lässt sich von einem Sprachmodell einen Überblick zu den steuerlichen Folgen einer Einbringung gegen Gewährung neuer Gesellschaftsrechte erstellen. Das ist als Vorrecherche sinnvoll. Fehlerhaft wird es erst dann, wenn aus dem Überblick ohne Abgleich mit Normen, Verwaltungsauffassung, Rechtsprechung und Literatur ein Mandantenhinweis entsteht. Der fachlich richtige Einsatz ist deshalb zweistufig:

     

    • 1. KI zur Strukturierung der Problemfelder
    • 2. Anschließende Validierung an Primärquellen und interne Freigabe vor externer Verwendung

     

    2. Mandantenanschreiben zur E-Rechnung

    KI kann aus Stichworten ein sprachlich ordentliches Anschreiben erzeugen. Das begrüßt der FAQ-Katalog ausdrücklich. Aber auch hier gilt: Der Entwurf darf nur Ausgangspunkt sein. Ob Fristen, Übergangsvorschriften, Branchenbesonderheiten und die konkrete Mandantensituation richtig getroffen sind, ist menschlich zu prüfen. Gerade bei standardisiert wirkenden Massenanschreiben liegt die Gefahr im Detail.

     

    Der FAQ-Katalog nennt Halluzinationen und Verzerrungen (Bias) ausdrücklich, weist aber mittelbar auf ein breiteres Risikospektrum hin: unkritische Übernahme, fehlende Quellenvalidierung, Schatten-KI, unklare Verantwortlichkeit, Datenabfluss, mangelnde Transparenz und unzureichende Dokumentation. In der Praxis sollte deshalb nicht nur gefragt werden, was das Tool kann. Wichtiger ist zu wissen, welche Fehler das Tool typischerweise produziert und wie schnell der Anwender sie erkennen würde?

     

    MERKE — Erst die Wirkung auf Ergebnis, Haftung und Prozessqualität entscheidet über Sinn und Zulässigkeit einer Maßnahme, nicht deren technische Attraktivität.

     

    KI verlangt neue Fähigkeiten und Governance

    Die FAQ betonen, dass der KI-Einsatz in der Kanzlei neue Kompetenzen verlangt: strukturiertes Prompting, kritische Bewertung, Datenkompetenz, IT-Grundverständnis, Prozessverständnis und fortbestehend tiefes steuerrechtliches Wissen. Besonders deutlich ist der Hinweis auf Art. 4 KI-VO: Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Für Kanzleien bedeutet das praktisch: KI-Nutzung ohne Schulung ist kein Kavaliersdelikt, sondern Organisationsversagen. Neue Arbeitsmodelle funktionieren nur, wenn Weiterbildung einen festen, nicht opferbaren Platz bekommt und wenn Rollenprofile sauber definiert sind. Übertragen auf KI heißt das: Jede Kanzlei braucht mindestens eine „verantwortliche Stelle“, die Tools prüft, Regeln fortentwickelt, Erfahrungen bündelt und Schulungen koordiniert. Die FAQ sprechen insoweit selbst von einem KI-Ansprechpartner bzw. „KI-Beauftragten“.

     

    ZWISCHENFAZIT — Nicht das beste Modell gewinnt, sondern die Kanzlei mit der besseren Kompetenzarchitektur. KI ohne Schulung produziert Scheinproduktivität; KI mit Schulung produziert belastbare Entlastung.

     

    Die FAQ empfehlen einen niedrigschwelligen Einstieg über klar abgegrenzte Pilotfälle, zunächst möglichst ohne Mandantendaten, flankiert durch einfache Leitlinien: Was darf in die KI? Was nicht? Wer prüft die Ergebnisse? Wo wird der Einsatz dokumentiert? Das ist bemerkenswert vernünftig, weil es weder Alarmismus noch Euphorie bedient. Für die Kanzlei bedeutet das praktisch:

     

    • Nicht mit zehn Tools starten, sondern mit einem oder zwei klaren Use Cases
    • Keine Freigabe produktiver Nutzung ohne Rollen-, Daten- und Prüfregeln
    • Keine Einführung ohne definierte Messgrößen.

     

    Beispiel: Die Auswahl des richtigen Pilotmandanten

    Sinnvoller Pilot: Interne Zusammenfassung von Verwaltungsanweisungen ohne Mandantendaten, anschließende Prüfung durch einen Berufsträger, Dokumentation des Use Cases im KI-Verzeichnis.

     

    Schlechter Pilot: Ungeprüfte Nutzung eines öffentlichen Accounts zur Analyse eines echten Mandats mit personenbezogenen Daten und anschließendem Versand der Ausgabe an den Mandanten.

     

    Der Unterschied liegt nicht in der „Modernität“, sondern in Governance und Risikosteuerung.

     

    Es braucht klare Freigabeprozesse, schriftliche Richtlinien, definierte Verantwortliche, dokumentierte Nutzung und eine Feedback-Kultur. Mitarbeitende sollen ausschließlich freigegebene Zugänge verwenden. Öffentliche Dienste wie ChatGPT oder Claude sollen vermieden werden, erst recht wenn sie nicht ausdrücklich für den Kanzleibetrieb freigegeben wurden. Zugleich empfehlen die FAQ betriebliche Accounts, Rollen- und Rechtemanagement, Awareness-Schulungen und technisch-organisatorische Vorkehrungen. Diese Linie ist konsequent. Denn dieselbe Kanzlei, die beim Mandantenportal Rollenmatrizen, SSO, MFA, zentrale Ablage, protokollierte Freigaben und klare Spielregeln verlangt, kann beim KI-Einsatz nicht plötzlich in Improvisation verfallen. Governance ist kein Hemmschuh der Innovation, sondern deren Voraussetzung.

     

    MERKE — Schatten-KI ist das Pendant zu Schatten-IT: Zunächst bequem, später teuer. Wer private Accounts, unklare Datenflüsse und ungeprüfte Tools duldet, erzeugt Mehrfachrisiken bei Datenschutz, Berufsrecht, Qualität und Haftung.

     

    Beispiel: Freigabemodell für KI-Tools

    Eine Kanzlei unterscheidet drei Stufen:

     

    Stufe 1: allgemeine Nutzung ohne Fach- und Mandatsdaten, etwa Formulierungshilfen für interne Organisation

     

    Stufe 2: fachliche Nutzung ohne Mandatsdaten, etwa Strukturierung eines allgemeinen Fachthemas

     

    Stufe 3: Prozessintegration oder Arbeit mit Mandatsdaten, nur nach formaler Prüfung, dokumentierter Freigabe und technischer Einbindung.

     

    Diese Logik entspricht der FAQ-Systematik „leicht – mittel – hoch“ für die Dokumentation.

     

    Berufsrecht und Datenschutz

    Verschwiegenheit, Datenschutz und fachliche Endverantwortung werden durch KI nicht relativiert, sondern organisatorisch verschärft. Das gilt erst recht, wenn personenbezogene Mandantendaten an externe Dienste fließen. Dann sind Information, Rechtsgrundlage, Auftragsverarbeitung, Löschkonzepte, Hosting-Fragen und technische Schutzmaßnahmen mitzudenken. Für Diktier-KI nennen die FAQ ausdrücklich Einwilligungserfordernisse, AV-Vertrag, möglichst EU-Datenverarbeitung und den Vorrang eines Offline-Einsatzes.

     

    Beispiel: Transkription durch externen Dienstleister

    Ein Berufsträger möchte Besprechungen automatisch transkribieren und zusammenfassen lassen. Rechtssicher wird das nur, wenn vorab geklärt ist:

     

    • Einwilligung aller Beteiligten bei nichtöffentlichen Gesprächen
    • Datenschutzrechtliche Grundlage und Transparenz
    • Auftragsverarbeitungsvertrag
    • Technische Absicherung und Löschkonzept
    • Keine unkontrollierte Weiterverwendung der Daten zu Trainingszwecken
    • Klare interne Regel, wer Zugriff auf Transkript und Summary hat.

     

    Fehlt nur einer dieser Bausteine, kippt ein scheinbar effizienter Prozess schnell in ein berufs- und datenschutzrechtliches Risiko.

     

    Qualitätssicherung und Dokumentation

    Einer der stärksten Sätze im FAQ-Katalog lautet sinngemäß: KI-Ergebnisse sind wie die Arbeit eines unerfahrenen Mitarbeitenden zu behandeln. Sie können hilfreich sein, müssen aber stets von einem erfahrenen Berufsträger geprüft werden. Die FAQ konkretisieren das inhaltlich mit fünf Prüfsträngen: inhaltliche Prüfung, fachliche Validierung an Primärquellen, Vier-Augen-Prinzip bei wichtigen Dokumenten, iterative Rückfragen an die KI und Anpassung des Sorgfaltsmaßstabs an die Tragweite des Ergebnisses. Das ist für die Kanzleiführung von hoher praktischer Relevanz. Denn Qualitätssicherung darf nicht bloß, als individuelle Sorgfaltserwartung formuliert werden; sie muss workflowfähig sein.

     

    Beispiel: Prüfpfad für KI-gestützte Schriftsatzentwürfe

    Ein belastbarer Prüfpfad könnte lauten:

     

    • KI erstellt Rohentwurf
    • Sachbearbeitung prüft Struktur, Vollständigkeit und tatsächliche Grundlagen
    • Berufsträger validiert Normen, Zitate, Fristen, Anträge und Argumentationslogik
    • Zweites Review bei haftungsträchtigen oder streitigen Fällen
    • Freigabe nur aus DMS/zentraler Ablage, nicht aus dem Chatfenster.
     

    MERKE — Wer KI einsetzt, braucht nicht weniger, sondern mehr Prozessdisziplin. Sprachliche Überzeugungskraft ersetzt keine fachliche Richtigkeit.

     

    Besondere Aufmerksamkeit verdienen die FAQ zur Dokumentation. Die BStBK sagt ausdrücklich: Der Umfang der Dokumentation richtet sich nach dem Risiko. Je näher KI an Fachprozesse und Mandatsdaten rückt, desto mehr muss dokumentiert werden. Vorgeschlagen wird ein KI-Verzeichnis als internes Register aller KI-Einsätze mit Tool, Zweck, Datenkategorien, Rechts- und Compliance-Checks, Qualitäts- und Kontrollmechanismen sowie verantwortlicher Person. Neue Tools oder Anwendungsfälle sollen vor dem Start eingetragen, Detaildokumente zugeordnet und das Verzeichnis regelmäßig aktualisiert werden. Es ist der Versuch, aus punktueller KI-Nutzung ein revisionsfähiges Governance-System zu machen. Dokumentation entscheidet praktisch darüber, ob eine Kanzlei ihre Compliance nachweisen, sich entlasten oder Regress realistisch verfolgen kann.

    KI in der Kanzlei – Was sage ich dem Mandanten?

    Eine allgemeine Pflicht, den KI-Einsatz ungefragt offenzulegen, wird derzeit nicht angenommen. Zugleich weisen die FAQ darauf hin, dass Mandanten über wesentliche Aspekte der Mandatsausführung zu unterrichten sind, dass datenschutzrechtliche Information erforderlich wird, wenn personenbezogene Daten an KI-Dienste fließen, und dass bei Chatbots künftig Transparenzpflichten nach Art. 50 KI-VO relevant werden. Offenheit kann Vertrauen schaffen; in manchen Konstellationen ist sie ohnehin sachgerecht oder geboten. Für die Praxis überzeugt deshalb eine mittlere Linie: Keine Überinformation, aber klare Transparenz in Datenschutzhinweisen, Vertragsgestaltung und bei mandatsrelevanten KI-Workflows verbunden mit dem deutlichen Hinweis, dass die persönliche Endkontrolle stets beim Berufsträger verbleibt.

     

    Beispiel: Formulierung in Mandantenvereinbarungen

    „Die Kanzlei setzt im Rahmen ihrer Leistungserbringung digitale Assistenz- und KI-gestützte Systeme ein, soweit dies organisatorisch freigegeben, datenschutzkonform ausgestaltet und fachlich kontrolliert ist. Die abschließende fachliche Prüfung und Verantwortung verbleiben stets bei der Kanzlei.“

     

    Aktionsplan — KI in der Kanzlei

    • Zielbild festlegen

    Wofür soll KI eingesetzt werden – Entwürfe, Recherche, Organisation, Diktat, Prozessunterstützung?

    • Use Cases priorisieren

    Zuerst risikoarme, klar abgrenzbare Pilotanwendungen

    • Richtlinie erstellen

    Datenregeln, Freigabegrenzen, erlaubte Tools, Prüfpflichten

    • Verantwortung zuweisen

    KI-Beauftragter oder kleines Steuerungsteam

    • Betriebliche Zugänge nutzen

    Keine privaten Accounts für Kanzleizwecke

    • Qualität sichern

    Primärquellenprüfung, Vier-Augen-Prinzip, Freigabeprozesse

    • Dokumentieren

    KI-Verzeichnis mit Stufenlogik leicht/mittel/hoch

    • Schulen

    Prompting, Risikobewertung, Datenschutz, Berufsrecht

    • Mandantenkommunikation klären

    Datenschutzhinweise, Vertragsklauseln, Transparenz bei KI-gestützter Kommunikation

    • Regelmäßig reviewen

    Tool-Updates, Nutzungspraxis, Fehlerbilder, neue Risiken

     
    Quelle: Ausgabe 08 / 2026 | Seite 142 | ID 50797609