FAQ-Katalog: KI-Einsatz in Steuerkanzleien
Wie müssen Steuerkanzleien KI rechtskonform einsetzen? Die Bundessteuerberaterkammer gibt mit ihrem neuen FAQ-Katalog praxisnahe Antworten zu Datenschutz, Verschwiegenheitspflicht und KI-Governance.
Die Bundessteuerberaterkammer (BStBK) hat kürzlich einen umfassenden FAQ-Katalog zum Einsatz Künstlicher Intelligenz im steuerberatenden Berufsstand veröffentlicht. Das Dokument behandelt praxisrelevante Fragen zu Datenschutz, Berufsrecht, Tool-Governance und Qualitätssicherung – und ist daher auch für Datenschutzbeauftragte in Kanzleien unmittelbar relevant.
Verschwiegenheitspflicht und Datenschutz im KI-Einsatz
Der Katalog macht deutlich: Mandantendaten dürfen grundsätzlich nicht in öffentlich zugängliche KI-Dienste wie ChatGPT eingegeben werden, sofern keine ausreichende vertragliche Absicherung vorliegt. Die berufsrechtliche Verschwiegenheitspflicht gemäß § 57 StBerG und § 203 StGB gilt technologieneutral – somit auch beim KI-Einsatz. Sollen mandatsbezogene Daten verarbeitet werden, ist entweder eine Anonymisierung oder der Abschluss eines Auftragsverarbeitungsvertrags sowie einer Verschwiegenheitsvereinbarung nach § 62a StBerG erforderlich. EU-basierte Anbieter sind ausdrücklich zu bevorzugen; bei Drittstaatenanbietern – insbesondere außerhalb der EU – gelten erhöhte Anforderungen.
Anforderungen der DSGVO und Folgenabschätzung
Sobald KI-Systeme personenbezogene Daten verarbeiten, gelten uneingeschränkt die DS-GVO-Grundsätze: Rechtsgrundlage, Datenminimierung, Zweckbindung, Löschkonzepte und Drittstaatentransfers müssen geprüft und dokumentiert werden. Die Aufsichtsbehörden fordern gemäß Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung, wenn der KI-Einsatz voraussichtlich hohe Risiken für Betroffenenrechte mit sich bringt. In diesem Fall entsteht auch für kleinere Kanzleien die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Betreiberpflichten und fachliche Verantwortung
Kanzleien, die KI eigenverantwortlich einsetzen, gelten als Betreiber im Sinne von Art. 3 Nr. 4 KI-VO und sind gemäß Art. 4 KI-VO verpflichtet, für ausreichende KI-Kompetenz ihres Personals zu sorgen. Eine gesetzliche Pflicht zur Nutzung von KI oder zur Bestellung eines KI-Beauftragten besteht nicht – die BStBK empfiehlt jedoch nachdrücklich, einen internen Ansprechpartner zu benennen sowie ein KI-Verzeichnis als Compliance-Werkzeug einzuführen. Die fachliche Endverantwortung verbleibt stets beim Berufsträger; KI-Ergebnisse müssen grundsätzlich kritisch geprüft werden und dürfen nicht ungeprüft übernommen werden.
