KI-Assistenten in Steuerkanzleien: Mehr Output, weniger Risiko

Praxisfall: «Nur ein schneller Entwurf…» 

Die Steuerkanzlei Kanzlei S. gilt als digital fortschrittlich. An einem Montagmorgen wendet sich ein langjähriger Mandant mit einem dringenden Anliegen an sie: Das Finanzamt hat bestimmte Betriebsausgaben nicht anerkannt, die Einspruchsfrist rückt näher. Eine Mitarbeiterin – nennen wir sie Mitarbeiterin A. – öffnet zur Vorbereitung ein gängiges GPT-Tool, um eine erste Argumentationsstruktur generieren zu lassen. 

Der Prompt lautet: 

«Erstelle eine strukturierte Begründung für einen Einspruch eines selbstständigen Kreativdienstleisters aus Süddeutschland, Jahr 2023, dessen Betriebsausgaben für Homeoffice und Software nicht anerkannt wurden.» 

Für Mitarbeiterin A. erscheint die Eingabe harmlos. Kein Name, keine Mandatsnummer, keine Adresse. Die KI liefert einen wohlformulierten Entwurf, der anschließend in der Kanzlei weiter ausgearbeitet wird. Am Ende reicht man einen fachlich sauberen Einspruch ein. 

Was niemand bedenkt: Bereits dieser Prompt war berufsrechtlich kritisch, datenschutzrechtlich nicht zulässig und haftungsrechtlich brisant – nicht wegen eines offensichtlichen Fehlers, sondern wegen der Kombination aus Angaben, die den Mandanten identifizierbar machen: 

• Tätigkeit (Kreativdienstleister) 

• Geografischer Bezug (Süddeutschland) 

• Streitjahr 

• Art der nicht anerkannten Aufwendungen 

• Kontext: Einzelunternehmer mit spezifischen Ausgabenmustern 

Diese Kombination genügt – insbesondere bei kleineren Mandaten oder spezifischen Mandatsportfolios – häufig, um Rückschlüsse auf die Person zu ermöglichen. 

Schwerer wiegt: Der Prompt wurde an einen nicht abgesicherten externen Dienst übermittelt, ohne Pseudonymisierung und ohne interne Richtlinie. 

Der Fall verdeutlicht: KI mag Arbeitsprozesse beschleunigen – doch Sorgfalt und organisatorische Kontrolle bleiben unverzichtbar. 

Im Folgenden wird systematisch dargelegt, wie Steuerberater und Wirtschaftsprüfer KI rechtssicher und effizient einsetzen – und wie der beschriebene Fall korrekt hätte ablaufen müssen. 

Warum KI-Nutzung in Steuerkanzleien ein Minenfeld sein kann 

Der Praxisfall macht deutlich: Nicht die KI selbst birgt das Risiko, sondern mangelhafte Organisationskontrolle. Die größten Gefahren entstehen nicht durch Technik, sondern durch unbedachte Offenlegung. 

Das Risiko beginnt bereits mit dem Prompt 

Viele Kanzleien unterschätzen, wie rasch in Prompts personenbezogene oder zumindest personenbeziehbare Informationen einfließen. Bereits folgende Kombination ist kritisch: 

• Steuerlicher Sachverhalt 

• Branche bzw. Berufsbild 

• Jahreszahlen 

• Art des Problems (z. B. bestimmte Anerkennungsstreitigkeiten) 

• Geografische Zuordnung 

Für den Berufsstand handelt es sich dabei um geschützte Geheimnisse – unabhängig davon, ob der Name genannt wird. 

Der Praxisfall zeigt ein typisches Muster: Die Mitarbeiterin wollte lediglich eine Formulierungshilfe – schuf dabei jedoch unbeabsichtigt ein Berufsrechtsrisiko. 

Mandantendaten dürfen nie ungefiltert verarbeitet werden 

Für Steuerberater gilt: 

• Berufsrechtliche Verschwiegenheit 

• § 203 StGB – Strafbarkeit der Offenbarung 

• DSGVO – personenbezogene Daten nur mit Rechtsgrundlage 

• Mandatsvertragliche Schutzpflichten 

Ein KI-Dienst (insbesondere Cloud- oder US-basiert) ist aus rechtlicher Sicht stets ein externer Dritter. 

Die Eingabe eines echten Fallkontextes ohne Pseudonymisierung ist damit: 

• berufsrechtlich unzulässig, 

• datenschutzrechtlich nicht abgedeckt, 

• haftungsrechtlich riskant, 

• potenziell strafrechtlich relevant und 

• eine Verletzung der Organisationspflicht. 

Im Praxisfall hätte die Kanzlei – schlimmstenfalls – sowohl gegenüber dem Mandanten als auch gegenüber der Kammer Erklärungsbedarf gehabt. 

«Wir nutzen KI, aber ohne Regeln»“ – warum das 2025 eine Haftungsfalle ist 

Der zentrale Fehler im Fall der Kanzlei S. liegt darin, dass keine verbindliche interne Steuerung existierte. KI wurde verwendet wie ein beliebiges Schreibwerkzeug – ohne Governance. 

Im Jahr 2025 verlangen mehrere Entwicklungen, dass Kanzleien KI strukturiert einbinden: 

• EU-KI-Verordnung: fordert Risikobewertungen und Transparenz. 

• DSGVO-Aufsichtsbehörden: prüfen KI-Einsatz zunehmend gezielt. 

• Berufskammern: weisen ausdrücklich darauf hin, dass KI keine Entlastung von persönlicher Verantwortung darstellt. 

• ISO 27001 und vergleichbare Standards: erwarten dokumentierte Prozesse bei Tools mit Datenverarbeitungsrisiken. 
• Haftpflichtversicherer: beginnen, KI-Nutzung als Risikoquelle in Policen zu berücksichtigen. 

Exkurs: Warum Versicherer beim Thema KI immer wichtiger werden 

Hintergrund 

Berufshaftpflichtversicherer beobachten seit 2024, dass KI Arbeitsprozesse verändert – und damit neue Fehlerquellen entstehen. Standardpolicen decken zwar Beratungsfehler ab, nicht jedoch automatisch Fehler, die aus intransparenten oder unkontrollierten KI-Prozessen resultieren. 

Versicherer wollen zunehmend wissen: 

• Welche Tools werden eingesetzt? 

• Existieren klare Richtlinien? 

• Gibt es dokumentierte Prüfprozesse? 

• Wie wird sichergestellt, dass KI keine fehlerhaften Inhalte unbemerkt in die Beratung einschleust? 

Relevanz für Steuerberater 

Versicherer berücksichtigen bei der Risikoprüfung, ob eine Kanzlei: 

• KI unreguliert einsetzt 

• Mitarbeitende nicht geschult sind 

• Keine Pseudonymisierung vornimmt 

• Automatisierte Texte ungeprüft übernimmt 

Fehlt eine solche organisatorische Absicherung, drohen im Schadenfall spürbare Konsequenzen: 

• Leistungskürzungen 

• Regressforderungen 

• Einstufung in höhere Risikoklassen 

• Restriktivere Anpassung der Vertragsbedingungen 

• Im Extremfall Versicherungsausschlüssen für KI-basierte Arbeit 

Im konkreten Praxisfall bedeutet das: 

Wären im KI-generierten Einspruch-Text gravierende Fehler enthalten gewesen, hätte der Versicherer im Schadenfall fragen können: 

«War der Einsatz dieses Tools in Ihrer Kanzlei organisatorisch geregelt?» 

Ohne entsprechenden Nachweis wäre der Versicherer in der Lage gewesen, zumindest Mitverschulden der Kanzlei geltend machen zu können. Damit wird deutlich: Versicherungsrecht ist ein weiterer zwingender Grund, KI-Nutzung sauber zu dokumentieren. 

Wie der Praxisfall sicher abgelaufen wäre 

Damit sich der Fall von Kanzlei S. nicht wiederholt, müssen drei Kernprinzipien im Kanzleialltag verankert werden. 

1. KI nur pseudonymisiert einsetzen – der wichtigste Grundsatz

Der riskante Prompt hätte (beispielsweise) wie folgt sicher formuliert werden müssen: 

«Erstelle eine allgemeine Argumentationsstruktur für einen Fall, in dem Betriebsausgaben eines Einzelunternehmens nicht anerkannt wurden.» 

Keine Branche, kein Ort, kein spezifisches Streitjahr – nur der abstrahierte Kern des Problems. 

Das genügt für ein brauchbares KI-Ergebnis und wahrt zugleich die Berufspflichten. 

Einfaches Kanzlei-Prinzip 

Was eine dritte Person ohne Mandantenbezug verstehen darf, kann in die KI eingegeben werden. Alles andere nicht. 

Diese Regel ist praxistauglich und sofort anwendbar. 

2. Einführung einer verbindlichen KI-Richtlinie– Pflichtdokument für jede Kanzlei

Im Beispiel fehlte eine klare Vorgabe. Eine funktionierende KI-Richtlinie hätte Folgendes geregelt: 

Welche Tools genutzt werden dürfen 

Nur solche, die: 

• vertraglich abgesichert sind, 

• technische Schutzmaßnahmen bieten und 

• Daten nicht für Trainingszwecke verwenden. 

Wie Prompts formuliert werden müssen 

Mit verpflichtender: 

• Pseudonymisierung 

• Abstraktion 

• Eingabeprüfung 

Welche Datenarten tabu sind 

Namentlich: 

• Steuerbescheide 

• Einkünfteaufstellungen 

• Buchungsdaten 

• Adressen und Firmendaten 

• Wirtschaftlich identifizierbare Kontexte 

Dokumentationspflichten 

Zum Beispiel: 

• KI-Ausgabe als «Entwurf» kennzeichnen 

• Menschliche Prüfung dokumentieren 

• Endversion im DMS speichern 

Schulungspflichten 

Mindestens einmal jährlich – mit praxisnahen Beispielen. 

Haftungs- und Versicherungsbezug 

Die Versicherungspolice sollte festhalten: 

• dass KI niemals ungeprüft übernommen wird, 

• dass sie ausschließlich als Hilfstool dient und 

• wie die interne Endverantwortung geregelt ist. 

Damit können Kanzleien gegenüber Versicherern belegen: «Wir nutzen KI verantwortungsvoll, kontrolliert und mit dokumentierten Prozessen.» 

3. Rollen trennen: KI entwirft, der Mensch beurteilt

Ein sicherer Ablauf im Praxisfall wäre gewesen: 

• Abstrakter Prompt 

• KI erstellt strukturellen Entwurf 

• Steuerberater prüft Inhalte 

• Mandantenspezifika werden ausschließlich intern eingefügt 

• Finale Freigabe durch eine verantwortliche Person 

Diese Rollentrennung verhindert: 

• Fachliche Fehler 

• Unbewusste Rechtsverstöße 

• Haftungsrisiken 

• Versicherungsprobleme  

Wie sicherer KI-Einsatz im Kanzleialltag konkret aussieht – Ableitungen aus dem Praxisfall 

Einspruchserstellung: Der sichere Prozess 

Sicherer Ablauf: 

• Sachverhalt abstrahieren 

• KI um Struktur bitten 

• Ergebnis fachlich prüfen 

• Echte Daten intern einfügen 

• Endversion dokumentieren 

So wird das Risiko deutlich reduziert. 

Mandanteninformationen: Optimaler KI-Einsatz 

KI eignet sich hervorragend für: 

• Newsletter 

• Gesetzesübersichten 

• Hinweise auf Praxisänderungen 

Hier bestehen kaum personenbezogene Risiken. Im Praxisfall hätte die Kanzlei genau diese Anwendung unbeschwert nutzen können. 

Fachliche Bewertungen: KI als Inspiration, nicht als Quelle 

KI kann: 

• Alternative Argumentationswege aufzeigen 

• Bei Strukturierungen unterstützen 

• Ideen für Formulierungen liefern 

Allerdings: 

• Ersetzt sie keine steuerliche Expertise 

• Darf sie nicht als fundierte Recherche verstanden und ungeprüft akzeptiert werden 

• Liefert sie nicht immer valide Rechtsauffassungen 

Im Beispiel hätte KI durchaus Argumentationsansätze liefern können – die fachliche Bewertung wäre jedoch weiterhin menschliche Aufgabe geblieben. 

Prüfungsnotizen (WP): gleiche Logik, höherer Anspruch 

Wirtschaftsprüfer müssen: 

• Eigenständige Prüfungshandlungen durchführen 

• Vollständige Nachvollziehbarkeit gewährleisten 

• Dokumentieren, was KI beigetragen hat 

KI darf unterstützen – aber nicht prüfen. 

Wettbewerbsvorteil durch sichere KI-Nutzung – Lehren aus dem Praxisfall 

Mandanten verlangen Effizienz UND Sicherheit 

Kanzleien, die KI klar geregelt einsetzen, strahlen Professionalität aus. Eine kommunikativ geschickt eingesetzte KI-Strategie schafft Vertrauen. 

Versicherer und Aufsichtsbehörden achten auf Governance 

Der Praxisfall macht deutlich: 

• Versicherer fragen zunehmend nach KI-Richtlinien 

• Fehlende Organisation kann Leistungen reduzieren 

• Dokumentierte Prozesse verbessern das Risikoprofil 

• Gute Governance wirkt präventiv 

Hier entsteht ein echter Wettbewerbsvorteil. 

Interne Vorteile: Weniger Fehler, mehr Orientierung 

Eine durchdachte KI-Richtlinie führt zu: 

• Einheitlichen Arbeitsweisen 

• Weniger Fehlanwendungen 

• Entlasteten Mitarbeitenden 

• Schnellerer Mandatsbearbeitung 

Mit klaren Regeln wäre das Dilemma des Praxisfalls gar nicht erst entstanden. 

Fazit 

Der (fiktive) Fall der Kanzlei S. ist alltäglich und zugleich lehrreich. 

Er verdeutlicht: 

• Wie leicht Fehler entstehen 

• Wie streng Berufsrecht und Datenschutz bleiben 

• Wie wichtig interne Regeln sind 

• Warum die Anforderungen von Versicherern sich verschärfen 

• Warum KI nur unter klaren Nutzungsbedingungen einen Vorteil bietet 

Die drei Leitprinzipien, die sich aus diesem Fall ableiten: 

1. Pseudonymisierung ist Pflicht– niemals echte Mandantendaten indie KI-Anwendung eingeben. 
2. Eine KI-Richtlinieistunverzichtbar – Technologie ohne Regeln führt ins Risiko. 
3. Der Mensch bleibt verantwortlich– KI darf entwerfen, nicht entscheiden.

Wer diese Grundsätze beherzigt, nutzt KI sicher, effizient und professionell – im Interesse der Mandanten, der Kanzlei und aller berufsrechtlichen Anforderungen.