Wie Steuerberater datenschutzkonforme KI-Anwendungen praktisch umsetzen können
Ein mittelgroßes Steuerberatungsbüro in Süddeutschland steht vor einer Herausforderung, die in nahezu jeder Kanzlei anzutreffen ist: Die Mitarbeitenden verbringen täglich mehrere Stunden damit, Mandanten-E-Mails zusammenzufassen, Belege zu kategorisieren und wiederkehrende Sachverhalte schriftlich aufzubereiten. Das wiederkehrende Muster dieser Tätigkeiten bindet qualifizierte Arbeitskraft, die für anspruchsvollere Beratungsleistungen fehlt. Die Lösung erscheint auf den ersten Blick naheliegend und zeitgemäß: ein KI-gestützter Textassistent, der an das Kanzlei-Postfach angebunden wird und Entwürfe vorbereitet, Buchungsvorschläge erläutert sowie interne Wissensbestände nutzbar macht. Die Verheißung von Effizienzgewinnen ist groß, die Implementierung scheint unkompliziert.
Die Einführung erfolgt pragmatisch, wie es in der Praxis häufig geschieht. Ein externer Anbieter stellt ein Cloud-basiertes KI-Tool bereit, das als «DSGVO-konform» vermarktet wird – eine Zusicherung, die viele Entscheider beruhigt, ohne dass sie die technischen Details hinterfragen. Nach wenigen Wochen produktiver Nutzung fällt im Rahmen einer internen Prüfung jedoch auf, dass Mitarbeitende vollständige Mandanten-E-Mails inklusive Steuer-ID, Angaben zu Gesundheitskosten und Informationen über familiäre Verhältnisse ungefiltert in das System eingeben. Die Eingabepraxis hat sich verselbständigt, ohne dass strukturelle Vorkehrungen getroffen wurden.
Unklar bleibt nun, wo diese hochsensiblen Daten tatsächlich verarbeitet werden, ob sie möglicherweise zu Trainingszwecken des KI-Modells genutzt werden und wer beim Anbieter oder dessen Subunternehmern tatsächlich Zugriff auf die Informationen hat. Eine Datenschutz-Folgenabschätzung wurde nicht durchgeführt, technische Schutzmaßnahmen sind kaum dokumentiert, und die Frage der berufsrechtlichen Verschwiegenheitspflichten wurde bei der Einführung nicht systematisch adressiert. Was als vielversprechendes Effizienzprojekt begann, entwickelt sich zu einem erheblichen datenschutzrechtlichen Risiko mit potenziell weitreichenden Konsequenzen für Kanzlei und Mandanten.
Der Kern des Problems liegt dabei nicht in der Nutzung von KI an sich – diese Technologie bietet messbare Mehrwerte für die Steuerberatung. Das Problem liegt vielmehr in der fehlenden Umsetzung von Privacy by Design, wie sie Art. 25 DSGVO seit Jahren fordert. Diese Norm verlangt, Datenschutz nicht als nachträgliches Korrektiv zu behandeln, sondern als integralen Bestandteil jeder Systemgestaltung von Anfang an mitzudenken. Das beschriebene Szenario ist kein Einzelfall, sondern symptomatisch für eine weit verbreitete Praxis.
Art. 25 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu treffen, um Datenschutzgrundsätze bereits bei der Konzeption und Gestaltung von Verarbeitungsvorgängen umzusetzen. Der Gesetzgeber hat damit einen fundamentalen Perspektivwechsel kodifiziert: Datenschutz soll kein Add-on sein, das nachträglich auf bestehende Systeme aufgepfropft wird, sondern integraler Bestandteil von Systemarchitekturen, Prozessen und Anwendungen. Diese Anforderung gewinnt mit der zunehmenden Durchdringung betrieblicher Abläufe durch digitale Werkzeuge stetig an Bedeutung.
Für Steuerberater ist diese Norm von besonderer Relevanz, da sie in ihrem beruflichen Alltag regelmäßig mit hochsensiblen personenbezogenen Daten arbeiten. Kanzleien verarbeiten Einkommensverhältnisse, familiäre Situationen, Gesundheitskosten und teilweise auch Daten nach Art. 9 DSGVO, die einem besonderen Schutzregime unterliegen. Diese Informationen bilden das Fundament der steuerlichen Beratung, erfordern aber gleichzeitig höchste Sorgfalt im Umgang. Parallel dazu steigt der Wettbewerbsdruck, digitale und KI-gestützte Werkzeuge einzusetzen, um effizienter zu arbeiten und am Markt bestehen zu können. Diese Spannung zwischen Innovationsdruck und Schutzpflichten prägt die aktuelle Situation vieler Kanzleien.
Art. 25 DSGVO verlangt dabei keineswegs Perfektion oder technische Höchstleistungen um jeden Preis, sondern eine risikobasierte Ausgestaltung der Schutzmaßnahmen. Der Gesetzgeber hat erkannt, dass absolute Sicherheit weder erreichbar noch wirtschaftlich vertretbar ist. Maßgeblich für die Beurteilung der Angemessenheit sind daher der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte der Betroffenen. Diese Faktoren müssen in ein ausgewogenes Verhältnis gebracht werden.
Gerade KI-Systeme erhöhen die datenschutzrechtlichen Risiken jedoch strukturell und auf neuartige Weise. Ihre systembedingte Intransparenz, ihre Fähigkeit zur Skalierung und die vielfältigen sekundären Nutzungsmöglichkeiten der verarbeiteten Daten schaffen Gefährdungslagen, die bei klassischen Fachanwendungen in dieser Form nicht auftreten. Diese Besonderheiten verlangen eine sorgfältige Auseinandersetzung mit den spezifischen Eigenschaften von KI-Technologien.
KI-Anwendungen unterscheiden sich grundlegend von klassischen Fachanwendungen, wie sie in Kanzleien seit Jahrzehnten eingesetzt werden. Während traditionelle Software Daten nach festgelegten, deterministischen Regeln verarbeitet und damit vorhersehbare Ergebnisse liefert, arbeiten KI-Systeme statistisch. Sie lernen aus Datenbeständen, erkennen Muster in großen Informationsmengen und generieren auf dieser Basis neue Inhalte. Diese Arbeitsweise macht sie einerseits leistungsfähig und vielseitig einsetzbar, bringt aber andererseits spezifische datenschutzrechtliche Spannungsfelder mit sich, die einer besonderen Betrachtung bedürfen.
Ein zentrales Problem liegt in den unklaren Zweckgrenzen. Bei KI-Systemen verschwimmen häufig die Kategorien von Trainings-, Test- und Produktivdaten. Was ursprünglich als Eingabe für eine konkrete Anfrage gedacht war, kann potenziell zur Verbesserung des Modells herangezogen werden. Diese Mehrfachnutzung widerspricht dem datenschutzrechtlichen Grundsatz der Zweckbindung und schafft Unsicherheit darüber, was mit eingegebenen Informationen tatsächlich geschieht. Die technische Architektur vieler KI-Systeme begünstigt diese Vermischung, da sie auf kontinuierliches Lernen ausgelegt sind.
Hinzu kommt der strukturelle Datenexzess. KI-Systeme scheinen von mehr Daten zu profitieren – je umfangreicher die Datenbasis, desto besser tendenziell die Ergebnisse. Diese Logik steht in direktem Widerspruch zum Grundsatz der Datenminimierung, der verlangt, nur die für den jeweiligen Zweck erforderlichen Daten zu verarbeiten. In der Praxis führt dies dazu, dass Nutzer geneigt sind, möglichst viele Informationen einzugeben, um optimale Ergebnisse zu erhalten, ohne die datenschutzrechtlichen Implikationen zu bedenken.
Die Intransparenz von KI-Entscheidungen stellt eine weitere gewichtige Herausforderung dar. Die internen Verarbeitungsprozesse moderner KI-Modelle sind selbst für Experten oft nicht vollständig nachvollziehbar. Diese sogenannte «Black Box»-Problematik erschwert es, den Betroffenen gegenüber Rechenschaft abzulegen und zu erklären, auf welcher Grundlage bestimmte Ergebnisse zustande gekommen sind. Für Steuerberater, die ihren Mandanten gegenüber zur Aufklärung verpflichtet sind, entsteht hier ein fundamentales Spannungsverhältnis.
Schließlich bestehen erhebliche Zugriffsrisiken. Hersteller, Subunternehmer und Supportstrukturen erhalten bei cloudbasierten Lösungen potenziell Einblick in die verarbeiteten Daten. Die Wertschöpfungsketten moderner KI-Dienste sind komplex und international verzweigt, was die Kontrolle über Datenflüsse zusätzlich erschwert. Für Steuerberater, die strengen berufsrechtlichen Verschwiegenheitspflichten unterliegen, können diese Strukturen problematisch sein.
Privacy by Design bedeutet in diesem anspruchsvollen Kontext, diese vielfältigen Risiken systematisch zu antizipieren und durch kluge Architekturentscheidungen zu begrenzen – nicht erst durch nachgelagerte Nutzungsrichtlinien, Schulungen oder Verbote. Der Schutz muss in die Systeme selbst eingebaut werden, nicht auf das Wohlverhalten der Nutzer setzen.
Ein zentraler, in der Praxis jedoch häufig unterschätzter Ansatzpunkt für Privacy by Design ist die systematische Eingabevalidierung. In vielen Kanzleien werden KI-Tools als «Black Box» genutzt: Mitarbeitende kopieren Inhalte aus E-Mails, Dokumenten oder Fachanwendungen direkt und ungefiltert in ein Eingabefeld, ohne sich der datenschutzrechtlichen Tragweite dieses Handelns bewusst zu sein. Diese unreflektierte Praxis ist menschlich nachvollziehbar – sie spart Zeit und erscheint effizient –, birgt aber erhebliche Risiken.
Privacy by Design setzt an dieser Stelle konsequent früher an und verlagert den Schutz von der individuellen Entscheidung des Nutzers auf die technische Ebene. KI-Anwendungen oder vorgeschaltete Systeme können so gestaltet werden, dass bestimmte Datenformate wie Steuer-IDs, IBANs oder Krankenkassennummern automatisch erkannt und blockiert oder maskiert werden. Freitextfelder lassen sich auf eine definierte Länge oder Struktur begrenzen, wodurch die Eingabe besonders umfangreicher Datensätze von vornherein unterbunden wird. Zudem können Warnhinweise erscheinen, wenn personenbezogene Daten bestimmter sensibler Kategorien erkannt werden, sodass der Nutzer vor der Verarbeitung noch einmal innehält.
Organisatorisch wird dieser technische Ansatz durch eine durchdachte Prompt-Governance ergänzt. Vordefinierte Eingabevorlagen, die den Zweck klar begrenzen – etwa mit der Anweisung «Formuliere eine neutrale Antwort ohne personenbezogene Details» –, reduzieren das Risiko unbeabsichtigter Datenweitergabe erheblich. Für Steuerberater bedeutet dies eine willkommene Entlastung: weniger Abhängigkeit vom individuellen Verhalten und der Aufmerksamkeit einzelner Mitarbeitender, dafür mehr strukturelle Kontrolle durch das System selbst. Der Datenschutz wird so vom persönlichen Verantwortungsbereich in die Systemarchitektur verlagert.
Ein weiterer Kernaspekt von Art. 25 DSGVO ist die konsequente Zugriffsbeschränkung auf das erforderliche Minimum. In KI-Systemen wird diese fundamentale Anforderung häufig vernachlässigt, insbesondere bei Software-as-a-Service-Lösungen, die standardisierte Zugriffsmodelle für alle Nutzer vorsehen. Die Bequemlichkeit einheitlicher Zugriffsrechte steht dabei im Konflikt mit dem datenschutzrechtlichen Erfordernis, Zugänge differenziert und bedarfsgerecht zu gestalten.
Privacy by Design verlangt hier eine mehrdimensionale Zugriffstrennung, die verschiedene Ebenen adressiert. Auf fachlicher Ebene benötigt nicht jeder Mitarbeitende Zugriff auf alle KI-Funktionen oder Datenquellen. Ein Buchhalter hat andere Informationsbedürfnisse als ein Steuerberater, und diese Unterschiede sollten sich in den Zugriffsrechten widerspiegeln. Auf technischer Ebene müssen Trainingsumgebungen, Testsysteme und produktive KI-Anwendungen strikt voneinander getrennt sein, um zu verhindern, dass Produktivdaten in Testumgebungen gelangen oder umgekehrt experimentelle Modelle auf echte Mandantendaten zugreifen.
Besondere Aufmerksamkeit verdient die anbieterbezogene Zugriffstrennung. Support- und Administrationszugriffe des Herstellers und seiner Dienstleister sind auf das absolut Notwendige zu beschränken und lückenlos zu protokollieren. Die vertraglichen Regelungen sollten klar definieren, unter welchen Umständen welche Personen auf welche Daten zugreifen dürfen. Für Steuerberater ist dabei insbesondere relevant, dass Mandantendaten nicht mandatsübergreifend verarbeitet werden. KI-Systeme müssen so konzipiert sein, dass sie keine impliziten Rückschlüsse oder unbeabsichtigten Wiederverwendungen ermöglichen – auch nicht auf statistischer Ebene durch Mustererkennung oder Modellanpassungen.
Ein fortgeschrittener, aber zunehmend relevanter Ansatz im Kontext von KI-Anwendungen ist «Differential Privacy». Diese Technik geht über klassische Anonymisierungsverfahren hinaus und bietet einen mathematisch fundierten Schutzansatz. Dabei werden Daten gezielt mit statistischem «Rauschen» (d. h. zufälligen Störsignalen) versehen, sodass individuelle Datensätze nicht mehr rekonstruierbar sind, während aggregierte Aussagen und statistische Erkenntnisse weiterhin möglich bleiben. Das Prinzip ermöglicht es, den Nutzen großer Datenmengen zu erschließen, ohne die Privatsphäre einzelner Betroffener zu kompromittieren.
In der praktischen Anwendung kann dies verschiedene Formen annehmen. KI-Modelle können mit synthetisch veränderten Trainingsdaten trainiert werden, die die statistischen Eigenschaften der Originaldaten bewahren, ohne konkrete Einzelfälle preiszugeben. Ausgaben des Systems können so begrenzt werden, dass keine Rückschlüsse auf einzelne Mandanten oder deren spezifische Sachverhalte möglich sind. Häufigkeitsanalysen oder Mustererkennungen können ausschließlich auf aggregierter Ebene erfolgen, sodass selbst bei intensiver Nutzung keine individuellen Profile entstehen.
Für Steuerberatungskanzleien ist Differential Privacy vor allem dann relevant, wenn KI-Systeme zur internen Wissensanalyse, zur Auswertung von Falltypen oder zur Optimierung von Arbeitsabläufen eingesetzt werden sollen. Der entscheidende Vorteil dieser Technik liegt darin, dass der Erkenntnisgewinn aus den Daten erhalten bleibt, ohne dass personenbezogene Daten im engeren Sinne verarbeitet werden müssen. Die Kanzlei kann von den Vorteilen datengetriebener Analyse profitieren, ohne datenschutzrechtliche Kompromisse eingehen zu müssen. Dies ist gerade für Berufsgeheimnisträger ein attraktiver Ansatz.
Ein klassischer und weit verbreiteter Fehler in der datenschutzrechtlichen Praxis ist die Annahme, Zweckbindung lasse sich allein durch Verfahrensverzeichnisse, interne Richtlinien und Schulungen sicherstellen. KI-Systeme zeigen jedoch mit besonderer Deutlichkeit, dass Zweckentfremdung oft technisch begünstigt wird, wenn keine entsprechenden Sperren eingebaut sind. Die bloße Dokumentation einer Zweckbindung entfaltet keine Schutzwirkung, wenn das System technisch in der Lage ist, Daten für beliebige andere Zwecke zu nutzen.
Privacy by Design fordert deshalb konsequent, Zweckbindung technisch zu erzwingen und nicht auf organisatorische Maßnahmen allein zu vertrauen. Konkret bedeutet dies, dass Datenquellen nur für klar definierte und dokumentierte KI-Funktionen freigegeben werden sollten. Eine Weiterverwendung für Training, Produktverbesserung oder andere Zwecke muss standardmäßig deaktiviert sein – das Prinzip lautet «Opt-in statt Opt-out». Schnittstellen und Programmierschnittstellen (APIs) sind zweckgebunden zu konfigurieren und dürfen nicht universell für beliebige Anwendungen nutzbar sein.
Für Steuerberater ergibt sich hieraus die Notwendigkeit, Anbieter kritisch zu prüfen und nicht allein auf Marketingversprechen zu vertrauen. Systeme, die pauschal und ohne nähere Spezifikation «Daten zur Qualitätsverbesserung» nutzen, stehen regelmäßig im Spannungsverhältnis zu Art. 25 DSGVO und insbesondere zur berufsrechtlichen Verschwiegenheitspflicht. Die Frage, was mit eingegebenen Daten tatsächlich geschieht, sollte vor jeder Einführung eines KI-Systems geklärt und vertraglich abgesichert werden.
Auch wenn KI-Systeme aufgrund ihrer technischen Komplexität nicht vollständig erklärbar sind und die sogenannte «Explainability» nach wie vor ein aktives Forschungsfeld darstellt, verlangt Art. 25 DSGVO eine angemessene Transparenz. Privacy by Design bedeutet in diesem Zusammenhang, Transparenz als explizites Designziel zu verankern und von Anfang an in die Systemgestaltung einzubeziehen.
Konkret umfasst dies mehrere Aspekte. Eine systematische Protokollierung muss dokumentieren, welche Datenkategorien zu welchem Zeitpunkt verarbeitet wurden. Die Nachvollziehbarkeit, welche KI-Funktion wann und von wem genutzt wurde, sollte jederzeit gegeben sein. Eine klare Dokumentation der Systemlogik auf abstrakter Ebene macht die Funktionsweise des Systems auch für Nicht-Techniker verständlich und ermöglicht eine informierte Einschätzung der Risiken.
Diese Transparenz ist nicht nur für die betroffenen Mandanten relevant, deren Daten verarbeitet werden, sondern auch für die Kanzleien selbst – etwa im Rahmen von behördlichen Prüfungen, Mandantenanfragen oder Datenschutzkontrollen. Wer nachweisen kann, wie das eingesetzte KI-System funktioniert und welche Schutzmaßnahmen implementiert wurden, steht in Kontrollsituationen deutlich besser da als jemand, der die Funktionsweise seines Systems nicht erklären kann.
In vielen Fällen wird der Einsatz von KI-Anwendungen in Steuerberatungskanzleien eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich machen. Dies gilt insbesondere dann, wenn sensible Daten systematisch und in größerem Umfang verarbeitet werden oder wenn neue Technologien zum Einsatz kommen, deren Risiken noch nicht vollständig verstanden sind. Privacy by Design und die Datenschutz-Folgenabschätzung sind dabei keine getrennten Disziplinen, die unabhängig voneinander bearbeitet werden, sondern greifen eng ineinander und ergänzen sich gegenseitig.
Funktionen der DSFA
Eine sorgfältig durchgeführte Datenschutz-Folgenabschätzung identifiziert Risiken frühzeitig, bevor sie sich materialisieren und Schaden anrichten können. Sie lenkt den Blick systematisch auf technische Gestaltungsmöglichkeiten und zwingt dazu, verschiedene Schutzalternativen zu erwägen und zu bewerten. Sie dokumentiert nachvollziehbar, warum bestimmte Maßnahmen gewählt und andere verworfen wurden, was im Streitfall von erheblicher Bedeutung sein kann.
Für Steuerberater ist die Datenschutz-Folgenabschätzung zugleich ein wichtiges Instrument zur Haftungsminimierung. Wer dokumentieren kann, dass er die Risiken eines KI-Einsatzes systematisch analysiert und angemessene Schutzmaßnahmen ergriffen hat, wird bei späteren Problemen besser dastehen als jemand, der diese Analyse versäumt hat. Darüber hinaus ermöglicht die Datenschutz-Folgenabschätzung eine strukturierte Entscheidungsfindung und Kommunikation gegenüber Mandanten, Aufsichtsbehörden und Berufsorganisationen. Sie schafft eine solide Grundlage für den verantwortungsvollen Technologieeinsatz.
Privacy by Design ist kein Innovationshemmnis und keine bürokratische Hürde, sondern eine wesentliche Voraussetzung für nachhaltigen und verantwortungsvollen KI-Einsatz – insbesondere in Berufsgruppen mit besonders hohen Anforderungen an Vertraulichkeit und Datenschutz, wie der Steuerberatung.
Art. 25 DSGVO verlangt nicht, auf moderne Technologien zu verzichten oder den technologischen Fortschritt zu ignorieren. Die Norm verlangt vielmehr, diese Technologien so zu gestalten, dass die damit verbundenen Risiken beherrschbar bleiben und die Rechte der Betroffenen gewahrt werden.
Wer KI-Systeme lediglich „einführt", ohne ihre Architektur, Datenflüsse und Zweckgrenzen kritisch zu hinterfragen, handelt kurzsichtig und setzt sich vermeidbaren Risiken aus. Die anfänglichen Effizienzgewinne können durch spätere datenschutzrechtliche Probleme, Reputationsschäden oder behördliche Sanktionen schnell aufgezehrt werden.
Wer hingegen KI-Systeme bewusst gestaltet, profitiert mehrfach:
Voraussetzung dafür sind durchdachte Eingabevalidierung, konsequente Zugriffstrennung, statistischer Datenschutz (etwa durch Differential Privacy) und technisch erzwungene Zweckbindung.
Für Steuerberater in Deutschland liegt hierin eine doppelte Chance, die es zu ergreifen gilt:
Privacy by Design ist dabei kein abstraktes akademisches Prinzip, das in der Praxis keine Rolle spielt, sondern eine konkrete Gestaltungsaufgabe – und letztlich eine Frage professioneller Verantwortung gegenüber den Mandanten, deren Vertrauen die Grundlage jeder steuerberatenden Tätigkeit bildet.
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist in der Regel erforderlich, wenn Sie KI-Systeme einsetzen, die sensible Mandantendaten verarbeiten. Die DSFA hilft Ihnen, Risiken frühzeitig zu erkennen und dokumentiert nachvollziehbar, welche Schutzmaßnahmen Sie ergriffen haben – das minimiert auch Ihre Haftung.
Setzen Sie auf technische Eingabevalidierung: Systeme können Steuer-IDs, IBANs oder Gesundheitsdaten automatisch erkennen und blockieren oder maskieren. Ergänzen Sie dies durch vordefinierte Eingabevorlagen (Prompt-Governance), die den Zweck klar begrenzen und so das Risiko unbeabsichtigter Datenweitergabe reduzieren.
Prüfen Sie kritisch, ob eingegebene Daten für Training oder Produktverbesserung verwendet werden – dies muss standardmäßig deaktiviert sein (Opt-in statt Opt-out). Klären Sie vertraglich, wer beim Anbieter Zugriff auf Ihre Daten hat und ob die berufsrechtliche Verschwiegenheitspflicht gewahrt bleibt.
Ja, wenn Sie KI-Systeme mit Privacy by Design einsetzen: Dazu gehören konsequente Zugriffstrennung, Datenmaskierung und zweckgebundene Verarbeitung ohne Weitergabe an Dritte. Entscheidend ist, dass Mandantendaten nicht mandatsübergreifend verarbeitet werden und keine impliziten Rückschlüsse durch das System möglich sind.
Privacy by Design bedeutet, Datenschutz bereits bei der Systemauswahl und -konfiguration mitzudenken – nicht erst durch nachträgliche Schulungen oder Verbote. Konkret umfasst dies Eingabevalidierung, Rollenmodelle für Zugriffsrechte, technisch erzwungene Zweckbindung und lückenlose Protokollierung der Datenverarbeitung.
Risikoanalyse ist für Kanzleien bei Microsoft 365 Pflicht: Sie schützt Mandantendaten, erfüllt revDSG und sichert die berufliche Compliance.
Löschkonzept gemäss revDSG: So definieren Schweizer Unternehmen Löschfristen, vermeiden Bussen und stärken Datenschutz & Vertrauen.
Die Schweiz hat kürzlich ein neues Datenschutzgesetz eingeführt, um den Schutz personenbezogener Daten zu stärken. Eine wichtige Bestimmung dieses...
Sind Sie der Erste, der über neueste zu Themen wie Geldwäscheprävention, Datenschutz und aktueller Rechtsprechung informiert wird.