An einem Montagmorgen im Frühjahr, kurz nach der Abgabefrist der Jahresabschlüsse, entscheidet sich die Geschäftsführung einer süddeutschen Steuerberatungskanzlei mit zehn Mitarbeitenden, ein neues Werkzeug einzuführen. Kein großes Projekt, kein strategischer Meilenstein – eher eine pragmatische Entscheidung aus dem Arbeitsalltag heraus. Eine Assistenz hatte zuvor vorgeschlagen, ein KI-gestütztes Text- und Analysewerkzeug einzusetzen, um Entwürfe für Mandantenanschreiben, interne Checklisten und Zusammenfassungen von Gesetzesänderungen schneller zu erstellen. Die Kanzlei arbeitet seit Jahren digital, nutzt DATEV, ein Dokumentenmanagementsystem, Cloud-basierte Zeiterfassung. Der Schritt wirkt konsequent, beinahe überfällig. Niemand stellt die grundsätzliche Frage, ob man «KI einsetzen darf». Die Annahme lautet schlicht: Solange keine Mandantendaten eingegeben werden, wird das schon passen.
In den folgenden Wochen etabliert sich das Tool stillschweigend im Arbeitsalltag. Eine Steuerfachangestellte nutzt es, um eine E-Mail an einen Mandanten vorzubereiten, der sich über die neue Grundsteuer beschwert. Ein Berufsträger lässt sich eine erste Struktur für eine interne Präsentation zu § 4f EStG vorschlagen. Ein Auszubildender experimentiert mit Prompts, um sich komplexe Sachverhalte erklären zu lassen und sein Verständnis zu vertiefen. Es gibt keine Richtlinie, keine Schulung, keine Dokumentation. Die Nutzung ist nicht verboten, aber auch nicht geregelt. Es herrscht ein Vakuum, wie es oft entsteht, wenn neue Technologien Einzug halten – und das in vielen Kanzleien ähnlich anzutreffen sein dürfte.
Genau hier beginnt das Problem, das der europäische Gesetzgeber mit der KI-Verordnung (KI-VO) adressiert: Nicht die Technologie an sich ist das Risiko, sondern der unqualifizierte, nicht verstandene und nicht gesteuerte Einsatz durch Menschen. Die Verordnung geht von einer simplen, aber weitreichenden Prämisse aus: Wer Werkzeuge nutzt, deren Funktionsweise er nicht versteht, kann deren Risiken nicht einschätzen. Und wer Risiken nicht einschätzt, kann sie nicht kontrollieren. Die KI-VO verlangt daher nicht nur Technologie, sondern Know-how. Dieses Know-how ist keine abstrakte Erwartung, sondern eine überprüfbare Anforderung, die sich in Kompetenznachweisen, Richtlinien und organisatorischen Strukturen niederschlägt.
Mit dem Inkrafttreten KI-VO wird erstmals ausdrücklich normiert, dass Organisationen sicherstellen müssen, dass Personen, die KI-Systeme einsetzen oder deren Einsatz überwachen, über eine angemessene KI-Kompetenz verfügen. Artikel 4 der Verordnung formuliert diese Anforderung unmissverständlich. Sie ist bewusst offen gehalten, knüpft aber an einen risikobasierten Ansatz an und richtet sich nach Rolle, Einsatzkontext und potenziellen Auswirkungen der KI-Nutzung. Was «angemessen» bedeutet, bestimmt sich folglich nicht abstrakt, sondern im Einzelfall – abhängig davon, welche Entscheidungen auf Basis von KI-Ausgaben getroffen werden und welche Konsequenzen diese Entscheidungen haben können.
Für Steuerberater und Wirtschaftsprüfer in Deutschland ist diese Entwicklung besonders relevant. Kanzleien gehören zwar in der Regel nicht zu den Anbietern von Hochrisiko-KI-Systemen, sie sind jedoch in wachsendem Umfang Anwender allgemeiner KI-Modelle – etwa für Textgenerierung, Recherche, Datenanalyse oder interne Entscheidungsunterstützung. Gleichzeitig verarbeiten sie besonders schützenswerte Informationen, unterliegen berufsrechtlichen Verschwiegenheitspflichten und bewegen sich regelmäßig in haftungsrelevanten Konstellationen. Diese Kombination aus technologischer Offenheit und regulatorischer Sensibilität macht die Frage der KI-Kompetenz zu einem Kernthema der Kanzleiorganisation.
Die Vorstellung, KI-Kompetenz sei eine «weiche» Anforderung, die sich durch gelegentliche Einweisungen oder informelles Lernen erledigen lasse, greift daher zu kurz. Der Gesetzgeber geht erkennbar davon aus, dass Kompetenz strukturiert aufgebaut, regelmäßig aktualisiert und organisatorisch verankert wird. Das unterscheidet die KI-Kompetenzanforderung von früheren Digitalisierungsthemen: Es geht nicht um die bloße Fähigkeit, ein Werkzeug zu bedienen, sondern um das Verständnis seiner Wirkungsweise, seiner Grenzen und seiner Risiken. Genau das macht sie prüfbar – und genau das könnten viele Kanzleien unterschätzen.
In der eingangs beschriebenen Kanzlei wird diese Dimension zunächst nicht gesehen. KI ist ein Werkzeug, kein eigenständiges Thema. Erst als im Rahmen einer turnusmäßigen Datenschutz-Überprüfung die Frage aufkommt, ob und wie KI-Tools genutzt werden, wird die Lücke sichtbar: Es gibt keine belastbare Antwort. Niemand kann nachvollziehbar erklären, wer was nutzt, mit welchem Zweck, auf welcher Grundlage und mit welchem Risikobewusstsein. Die Kanzlei steht vor einer Dokumentationslücke.
KI-Kompetenz ist kein monolithisches Wissen. Sie besteht aus mehreren Bausteinen, die je nach Rolle unterschiedlich ausgeprägt sein müssen. Für Kanzleien bedeutet das: Nicht jeder Mitarbeitende muss ein technisches Tiefenverständnis neuronaler Netze besitzen. Aber jeder, der KI nutzt, muss deren Funktionslogik, Grenzen und Risiken in einem für seine Tätigkeit angemessenen Umfang verstehen. Diese Differenzierung ist entscheidend: Die KI-VO fordert keine Informatikausbildung, sondern aufgabenbezogene Handlungskompetenz.
Ein zentraler Bestandteil dieser Kompetenz ist die Fähigkeit, KI-Risiken zu erkennen. Dazu gehört zunächst das Verständnis, dass KI-Systeme keine «denkenden» Instanzen sind, sondern probabilistische Modelle, die auf Trainingsdaten beruhen. Diese Modelle generieren statistisch wahrscheinliche Fortsetzungen, keine faktisch geprüften Aussagen. In der Praxis heißt das: Ausgaben können plausibel, aber falsch sein. Sie können veraltet, verzerrt oder kontextunangemessen sein. In einer Steuerberatungskanzlei kann das dazu führen, dass ein KI-generierter Text eine Gesetzesänderung falsch einordnet, eine Ausnahmeregelung unterschlägt oder eine Rechtsprechungsentwicklung übersieht. Wer diese Risiken nicht kennt, erkennt sie auch nicht – und übernimmt fehlerhafte Inhalte, ohne es zu bemerken.
Eng damit verbunden ist die datenschutzkonforme Nutzung. Gerade allgemeine KI-Modelle, die als Cloud-Dienst bereitgestellt werden, werfen komplexe Fragen des Datenschutzrechts auf. Welche Daten dürfen eingegeben werden? Werden Inhalte gespeichert oder weiterverarbeitet? Bestehen Auftragsverarbeitungsverhältnisse im Sinne von Art. 28 DSGVO? Wie lassen sich Berufsgeheimnisse nach § 203 StGB und § 57 StBerG wahren, wenn Informationen an Drittserver übermittelt werden? KI-Kompetenz bedeutet hier nicht, juristische Gutachten zu erstellen, sondern Risiken zu verstehen und einfache, klare Nutzungsregeln einzuhalten. Die praktische Herausforderung liegt darin, diese Regeln so zu formulieren, dass sie im Arbeitsalltag umsetzbar sind.
In der süddeutschen Kanzlei zeigt sich ein klassisches Missverständnis: Mehrere Mitarbeitende gehen davon aus, dass es unproblematisch sei, Mandantensachverhalte zu «anonymisieren», indem man Namen entfernt. Dass auch indirekte Identifizierbarkeit, Kombinationseffekte oder Kontextinformationen problematisch sein können, ist ihnen nicht bewusst. Ein Sachverhalt, der ohne Namensnennung beschrieben wird, kann durch ungewöhnliche Details, Branchenzugehörigkeit oder Transaktionsvolumen gleichwohl identifizierbar sein. Ohne Schulung bleibt diese Lücke bestehen – und sie ist symptomatisch für ein verbreitetes Unterschätzen datenschutzrechtlicher Komplexität.
Ein weiterer Aspekt ist der kompetente Umgang mit Prompts. Prompting ist keine Spielerei, sondern ein wesentlicher Steuerungsmechanismus von KI-Anwendungen. Die Qualität der Eingabe bestimmt die Qualität der Ausgabe. Wer unscharf fragt, erhält unscharfe Antworten. Wer implizite Annahmen nicht hinterfragt, bekommt verzerrte Ergebnisse. Wer keine Kontext-Informationen liefert, erhält generische Antworten. In der Kanzlei fällt auf, dass Ausgaben der KI häufig ungeprüft als Grundlage für interne Arbeitspapiere genutzt werden. Die Verantwortung bleibt zwar formal beim Menschen, faktisch verlagert sich jedoch ein Teil der Denkleistung auf das System – mit allen Risiken, die das birgt.
Hinzu kommt das Verständnis für Bias und Fehlklassifikationen. KI-Anwendungen reproduzieren statistische Muster aus Trainingsdaten. Das kann zu systematischen Verzerrungen führen – etwa bei der Bewertung von Sachverhalten, der Gewichtung von Risiken oder der Auswahl relevanter Aspekte. In der steuerlichen Beratung kann das bedeuten, dass bestimmte Gestaltungsoptionen regelmäßig überbetont oder andere vernachlässigt werden. Ein Modell, das überwiegend mit Standardfällen trainiert wurde, wird Ausnahmeregelungen tendenziell unterschätzen. Ohne Bewusstsein für diese Mechanismen bleibt die Nutzung naiv und kann zu systematischen Fehleinschätzungen führen, die sich erst spät – etwa bei einer Betriebsprüfung – zeigen.
Schließlich spielt Dokumentation und Nachvollziehbarkeit eine zentrale Rolle. Die KI-VO knüpft an bestehende Compliance-Logiken an: Was nicht dokumentiert ist, gilt als nicht vorhanden. KI-Kompetenz umfasst daher auch das Wissen, wann und wie der Einsatz von KI nachvollziehbar festgehalten werden muss – sei es im Rahmen interner Richtlinien, Schulungsnachweise oder Verfahrensbeschreibungen. Diese Dokumentation ist nicht Selbstzweck, sondern dient der Rechenschaftsfähigkeit: Wer im Streitfall darlegen kann, wie ein KI-gestützter Prozess organisiert war, steht besser da als wer auf Erinnerungen angewiesen ist.
Steuerberater und Wirtschaftsprüfer stehen bei der Umsetzung dieser Anforderungen vor spezifischen Herausforderungen. Kanzleien sind häufig klein oder mittelgroß, stark ausgelastet und historisch nicht als «Technologieorganisationen» aufgestellt. Die Personaldecke ist oft dünn, die Mandatsarbeit hat Priorität, und strategische Organisationsentwicklung konkurriert mit dem Tagesgeschäft um knappe Zeitbudgets. Fortbildung ist selbstverständlich, aber sie fokussiert sich traditionell auf Steuerrecht, Rechnungslegung und Berufsrecht. IT-Schulungen werden oft punktuell und anlassbezogen durchgeführt – etwa bei der Einführung neuer Software – und selten als kontinuierlicher Prozess verstanden.
Die KI-VO durchbricht diese Logik. KI-Kompetenz ist keine optionale Zusatzqualifikation, sondern Teil der ordnungsgemäßen Organisation. Sie betrifft nicht nur einzelne «Power-User», sondern alle, die KI-Systeme nutzen oder deren Ergebnisse weiterverarbeiten. Das schließt Assistenzkräfte ebenso ein wie Berufsträger. Gleichzeitig ist sie nicht delegierbar: Die Kanzleileitung bleibt verantwortlich für die Schaffung geeigneter Rahmenbedingungen. Diese Verantwortung lässt sich nicht durch die Bestellung eines «KI-Beauftragten» externalisieren; sie muss in der Organisationsstruktur verankert werden.
In der beschriebenen Kanzlei wird dies besonders deutlich, als ein Berufsträger erkennt, dass er Ausgaben eines KI-Tools in eine Stellungnahme eingebaut hat, ohne deren Herkunft und Entstehung zu dokumentieren. Die inhaltliche Verantwortung bleibt bei ihm – aber die Frage, ob er seiner Organisationspflicht genügt hat, stellt sich neu. Hätte die Kanzlei klare Vorgaben, Schulungen und Prüfmechanismen etabliert, ließe sich diese Verantwortung anders absichern. Die Erkenntnis reift: Nicht das Werkzeug ist das Problem, sondern das Fehlen einer strukturierten Einbettung in die Kanzleiorganisation.
Viele Kanzleien haben bislang keine systematische Schulungsarchitektur für KI. Schulungen erfolgen ad hoc, informell oder gar nicht. Wissen verbreitet sich über Flurfunk, persönliche Neugier oder externe Impulse – ein Vortrag auf einem Kanzleitag, ein Artikel in einer Fachzeitschrift, eine Empfehlung unter Kollegen. Das mag in früheren Innovationsphasen funktioniert haben, ist aber regulatorisch nicht belastbar. Eine Aufsichtsbehörde, die nach Nachweisen fragt, wird sich mit dem Hinweis auf «informellen Wissensaustausch» nicht zufriedengeben.
Eine Schulungsarchitektur bedeutet mehr als ein einmaliges Webinar. Sie umfasst eine strukturierte Bedarfsermittlung, die Definition von Lernzielen, die Zuordnung von Rollen und die regelmäßige Überprüfung der Wirksamkeit. Im Kontext der KI-VO kommt hinzu, dass diese Architektur dokumentiert und im Zweifel gegenüber Aufsichtsbehörden darstellbar sein muss. Das erfordert eine bewusste Gestaltungsentscheidung: Welche Kompetenzen brauchen welche Mitarbeitenden? In welchem Rhythmus wird geschult? Wie wird der Lernerfolg überprüft? Und wie werden Änderungen – etwa neue KI-Werkzeuge oder aktualisierte Leitlinien – in das bestehende Konzept integriert?
In der süddeutschen Kanzlei existiert bislang lediglich eine allgemeine IT-Einweisung für neue Mitarbeitende. KI wird dort nicht erwähnt. Es gibt keine Differenzierung zwischen Auszubildenden, Fachangestellten und Berufsträgern. Niemand hat definiert, welches Kompetenzniveau für welche Rolle erforderlich ist. Damit fehlt die Grundlage, um überhaupt beurteilen zu können, ob die Anforderungen erfüllt sind. Die Kanzlei operiert im Blindflug – nicht aus Nachlässigkeit, sondern weil das Thema schlicht nicht auf dem Radar war.
Dieses Defizit ist kein individuelles Versäumnis, sondern ein strukturelles Phänomen des gesamten Berufsstands. Die Verbände und Kammern haben das Thema KI zwar aufgegriffen und erste Orientierungshilfen veröffentlicht. Doch diese und sonstige Dokumente behandeln das Thema KI-Kompetenz allenfalls am Rande; konkrete Leitfäden zur systematischen Kompetenzvermittlung in Kanzleien fehlen bislang. Die KI-VO macht es nun erforderlich, diese Lücke aus eigener Kraft zu schließen – denn die Anforderung an KI-Kompetenz ist bereits in Kraft.
Ein praktikabler Ansatz für Kanzleien besteht darin, KI-Kompetenz systematisch, aber verhältnismäßig aufzubauen. Der Aufwand muss zur Kanzleigröße und zum Einsatzumfang passen; überdimensionierte Compliance-Strukturen sind ebenso wenig zielführend wie vollständiges Ignorieren des Themas. Kernstück ist ein jährliches KI-Training, das verpflichtend für alle relevanten Mitarbeitenden durchgeführt wird. Dieses Training muss nicht technisch überfrachtet sein, sollte aber die zentralen Risikodimensionen adressieren: Funktionsweise, Grenzen, Datenschutz, Bias, Verantwortung und Dokumentation. Ein halber Tag pro Jahr, gut strukturiert, kann bereits einen erheblichen Unterschied machen.
Entscheidend ist die Anbindung an klare Rollenkonzepte. Nicht jeder benötigt das gleiche Wissen. Auszubildende und Assistenzkräfte brauchen vor allem ein Bewusstsein für Risiken und klare Nutzungsregeln – sie müssen wissen, was sie tun dürfen und was nicht. Fachkräfte müssen KI-Ausgaben kritisch bewerten können; sie benötigen ein Verständnis dafür, wann eine Ausgabe plausibel ist und wann Skepsis angebracht ist. Berufsträger benötigen zusätzlich ein Verständnis für haftungs- und organisationsrechtliche Implikationen – sie tragen die Verantwortung für das, was die Kanzlei verlässt. Die Kanzleileitung schließlich trägt die Verantwortung für Governance, Richtlinien und Nachweise; sie muss das Gesamtbild im Blick haben.
In der beschriebenen Kanzlei wird dieser Ansatz schrittweise umgesetzt. Zunächst definiert die Geschäftsführung drei Rollen: «KI-Nutzer», «KI-verantwortliche Fachkräfte» und «KI-Governance». Für jede Rolle werden Mindestkompetenzen festgelegt – nicht als theoretischer Anforderungskatalog, sondern als praktische Handlungsfähigkeit. Darauf aufbauend wird ein internes Schulungskonzept entwickelt, das jährlich aktualisiert wird und neue Entwicklungen berücksichtigt. Die erste Schulung ist bewusst kompakt gehalten: zwei Stunden Grundlagen für alle, eine weitere Stunde Vertiefung für Fachkräfte und Berufsträger.
Parallel dazu entsteht eine einfache, aber klare KI-Nutzungsrichtlinie. Sie legt fest, welche Tools genutzt werden dürfen, welche Daten eingegeben werden dürfen und welche Prüfpflichten bestehen. Die Richtlinie ist bewusst kurz gehalten – zwei Seiten, klare Sprache, konkrete Beispiele. Die Schulung verweist explizit auf diese Richtlinie und macht deren Einhaltung zum Bestandteil der Kompetenzanforderung. Mitarbeitende unterschreiben, dass sie die Richtlinie zur Kenntnis genommen haben; das schafft Verbindlichkeit und Dokumentation in einem.
Besonderes Augenmerk liegt auf der Dokumentation. Teilnahme an Schulungen wird erfasst, Inhalte werden festgehalten, Aktualisierungen nachvollziehbar dokumentiert. Damit entsteht ein prüfbarer Rahmen, der nicht nur der KI-VO genügt, sondern auch im Kontext von DSGVO, Berufsrecht und Haftungsfragen entlastend wirkt. Im Zweifel kann die Kanzlei nachweisen, dass sie ihre Organisationspflichten ernst genommen hat – und das ist im Haftungsfall ein erheblicher Vorteil.
Was sich in der Kanzlei verändert, ist weniger die Technologie als die Haltung. KI wird nicht mehr als neutraler Helfer betrachtet, sondern als Werkzeug mit spezifischen Risiken, das professionell beherrscht werden muss. Mitarbeitende stellen kritischere Fragen, prüfen Ausgaben bewusster und dokumentieren Nutzungsszenarien klarer. Die anfängliche Skepsis gegenüber «zusätzlicher Bürokratie» weicht der Erkenntnis, dass strukturierte Kompetenz Sicherheit schafft – für die Mitarbeitenden selbst, für die Mandanten und für die Kanzlei als Ganzes.
Die KI-VO wirkt hier nicht als Innovationsbremse, sondern als Katalysator für Professionalität. Er zwingt Kanzleien, implizites Wissen explizit zu machen und individuelle Erfahrung in organisationale Strukturen zu überführen. Das ist kein Fremdkörper in der Berufskultur, sondern eine konsequente Fortsetzung dessen, was Steuerberater und Wirtschaftsprüfer seit jeher auszeichnet: Sorgfalt, Nachvollziehbarkeit, Verantwortungsbewusstsein. Gerade für Berufsträger, deren Tätigkeit auf Vertrauen, Sorgfalt und Nachvollziehbarkeit beruht, ist das ein konsequenter Schritt in die Zukunft des Berufsstands.
Am Ende des Jahres blickt die süddeutsche Kanzlei auf eine veränderte Praxis. KI wird weiterhin genutzt, vielleicht sogar intensiver als zuvor. Der Unterschied liegt darin, dass Nutzung nicht mehr ungeregelt erfolgt. Mitarbeitende wissen, was sie tun dürfen, was sie lassen müssen und worauf sie achten sollen. Die Kanzleileitung kann auf Nachfrage darlegen, wie KI-Kompetenz aufgebaut, überprüft und aktualisiert wird. Dadurch schafft sie nicht nur regulatorische Sicherheit, sondern auch Vertrauen – bei Mandanten, bei Mitarbeitenden, bei Prüfern.
Der anfangs beiläufig eingeführte KI-Einsatz hat sich damit zu einem organisatorisch verankerten Thema entwickelt. Nicht, weil eine Behörde konkret vor der Tür stand, sondern weil klar wurde, dass Kompetenz im Umgang mit KI Teil der beruflichen Sorgfalt ist.
Die Erkenntnis, dass technologische Möglichkeiten organisatorische Verantwortung nach sich ziehen, ist nicht neu – aber im Kontext von KI gewinnt sie eine neue Dringlichkeit. Die Frage ist nicht mehr, ob Kanzleien KI-Kompetenz aufbauen sollten, sondern wie sie dies strukturiert und nachhaltig tun. Die Entwicklung der Technologie macht es unvermeidlich; die KI-VO macht es messbar.