Gilt der AI Act für Steuerberatungskanzleien?

Ja. Sobald eine Kanzlei KI-Tools einsetzt (DATEV-KI-Module, ChatGPT für Schriftsätze, Belegklassifizierung, KI-Chatbots), greifen die Pflichten der EU-KI-Verordnung 2024/1689. Mindestpflicht seit 02.02.2025: KI-Kompetenz aller Mitarbeitenden nach Art. 4 KI-VO.

Ist Belegklassifizierung mit KI ein Hochrisiko-System?

Standardmäßig nein. Belegklassifizierung und Buchungssatz-Vorschläge fallen in der Regel unter minimales bis begrenztes Risiko. Anders wäre es, wenn die KI eigenständig Steuerbescheide bewertet oder Mandanten-Bonität prognostiziert — letzteres wäre Annex III Nr. 5(b) (Kreditwürdigkeit) und damit Hochrisiko.

Müssen wir Mandanten informieren, wenn wir KI für Schriftsätze nutzen?

Art. 50 Abs. 4 KI-VO greift bei KI-generierten Texten nur, wenn diese die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informieren UND ohne menschliche redaktionelle Kontrolle veröffentlicht werden. Interne Schriftsätze, die der Steuerberater prüft und freigibt, sind damit i.d.R. nicht offenlegungspflichtig. Bei Chatbots auf der Kanzlei-Website gilt Art. 50 Abs. 1: Mandanten müssen erkennen können, dass sie mit einer KI sprechen.

Wie verhält sich AI Act zur Verschwiegenheitspflicht?

§ 57 StBerG (Berufsverschwiegenheit) bleibt unberührt. Praktisch bedeutet das: Keine Mandanten-Daten in externe GPAI-Tools (ChatGPT, Copilot) ohne ausreichenden Auftragsverarbeitungsvertrag und ohne explizite Mandantenfreigabe. Bei DATEV-internen KI-Funktionen besteht in der Regel ein passender AVV — extern fast nie.

AI Act für Steuerberater: DATEV-KI, Mandantenkommunikation & Pflichten 2026

Q: Welche Bußgelder drohen Steuerkanzleien?

Art. 99 KI-VO sieht bis zu 35 Mio. EUR oder 7 % Jahresumsatz für Verstöße gegen Art. 5 (Verbote) vor; bis zu 15 Mio. EUR oder 3 % für Verstöße gegen Betreiberpflichten (Art. 26) und Transparenz (Art. 50). Für KMU-Kanzleien gilt nach Art. 99 Abs. 6 der niedrigere Wert. Sanktionen sind seit 02.08.2025 anwendbar.

Von Timo Korte Stand: Mai 2026 Lesezeit: 7 Minuten

Die EU KI-Verordnung 2024/1689 betrifft Steuerberatungskanzleien in zweifacher Hinsicht: Sie sind selbst Betreiber von KI-Systemen (DATEV-KI, ChatGPT, Belegklassifizierung) — und Sie werden zunehmend von Mandanten gefragt, was zu tun ist. Dieser Leitfaden zeigt, wo Sie als Kanzlei rechtlich stehen, welche Pflichten konkret gelten und wo die Verschwiegenheitspflicht nach § 57 StBerG mit dem AI Act kollidiert.

Status-Hinweis Digital Omnibus on AI (Mai 2026): Die EU-KI-Verordnung 2024/1689 gilt seit 02.02.2025 in Teilen. Der Digital Omnibus (politische Einigung Trilog 07.05.2026, noch nicht im Amtsblatt) verschiebt die Hochrisiko-Pflichten Anhang III von 02.08.2026 auf 02.12.2027. Für Steuerkanzleien sind aktuell vor allem Art. 4 (KI-Kompetenz, gilt) und Art. 50 (Transparenz, ab 02.08.2026) relevant.

Wenig Zeit? Finden Sie in 3 Minuten heraus, wo Sie stehen.

Der kostenlose 25-Punkte-Check zeigt Ihnen sofort, welche AI-Act-Pflichten Sie bereits erfüllen und wo Handlungsbedarf besteht.

Kostenlosen Selbst-Audit starten →

Sind Steuerkanzleien überhaupt betroffen?

Ja, eindeutig — und zwar in zweifacher Hinsicht:

1. Als Betreiber von KI-Systemen. Jede Kanzlei, die DATEV-KI-Module nutzt, ChatGPT für Schriftsätze einsetzt, KI-basierte Belegklassifizierung verwendet oder einen Mandanten-Chatbot auf der Website hat, ist Betreiber im Sinne von Art. 3 Nr. 4 KI-VO. Damit greifen die Betreiberpflichten — allen voran die KI-Kompetenz nach Art. 4.

2. Als Berater Ihrer Mandanten. Ein wachsender Teil Ihrer Mandanten ist selbst betroffen — von Arztpraxen über Handwerksbetriebe bis zu Finanzdienstleistern. Wenn Mandanten Sie fragen, was zu tun ist, sollten Sie die wichtigsten Pflichten und Fristen sicher benennen können. Das ist neben StBerG/StBVV mittlerweile Erwartungshorizont.

Typische KI-Einsätze in der Kanzlei und ihre Risikoklasse

KI-Einsatz	Risikoklasse	Hauptpflicht
ChatGPT / Copilot für Schriftsätze, Mandanten-E-Mails	Minimal	Art. 4 KI-Kompetenz, kein Mandantendaten-Upload ohne AVV
Belegklassifizierung / Buchungssatz-Vorschläge (DATEV)	Minimal–Begrenzt	Art. 4 + interne Doku
Texterstellung Mandanten-Newsletter	Minimal	Art. 4 + ggf. Art. 50 (Watermarking durch Anbieter)
Kanzlei-Chatbot für Mandantenanfragen	Begrenzt	Art. 50 Abs. 1: Hinweis „Sie chatten mit einer KI“
KI-Bonitätsprognose für Kreditberatung der Mandanten	Hoch (Annex III Nr. 5(b))	FRIA Art. 27 + alle Betreiberpflichten Art. 26
KI-Personalauswahl bei Recruiting (eigene Mitarbeiter)	Hoch (Annex III Nr. 4)	FRIA + Art. 26 + Betriebsrats-Mitbestimmung § 87 BetrVG

KMU-Tipp: Die meisten Kanzleien bewegen sich vollständig in der Zeile „Minimal–Begrenzt“. Das heißt: Mit dokumentierter Art. 4-Schulung + Inventar + Transparenz-Hinweis beim Chatbot sind Sie weit. Hochrisiko trifft Sie nur bei sehr spezifischen Beratungs-Angeboten (z. B. KI-gestützte Kreditberatung) oder beim KI-Recruiting in der eigenen Kanzlei.

DATEV-KI: Was tut sich, was müssen Sie tun?

DATEV integriert seit 2024 KI-Funktionen in die Kanzleisoftware (DATEV Online, DATEV Smart Insights, Belegerkennung). Das bedeutet für Sie als Steuerkanzlei:

DATEV ist Anbieter (Provider) der KI-Funktionen nach Art. 3 Nr. 3 KI-VO. Damit liegt die technische Doku (Art. 11), Logging (Art. 12) und Konformitätsbewertung bei DATEV — nicht bei Ihnen.
Sie sind Betreiber (Deployer) nach Art. 3 Nr. 4. Ihre Pflichten: KI-Kompetenz Ihrer Mitarbeiter (Art. 4), Verwendung gemäß DATEV-Anleitung (Art. 26 Abs. 1), bei Hochrisiko-Modulen menschliche Aufsicht (Art. 26 Abs. 2).
AVV / DSGVO-Schnittstelle: DATEV bietet eine eigene Auftragsverarbeitungsvereinbarung an. Achten Sie darauf, dass darin die KI-Nutzung explizit erwähnt ist — Standard-AVVs von vor 2024 decken das oft nicht ausreichend ab.

Was Sie aktiv tun müssen: Inventar führen, welche DATEV-Module mit KI-Anteil bei Ihnen aktiv sind. Bei Behördenanfrage müssen Sie das vorlegen können — Stichwort Art. 26 Abs. 6 (Logs mind. 6 Monate aufbewahren).

AI Act vs. § 57 StBerG (Verschwiegenheit)

Eine berufsrechtliche Frage, die in keinem AI-Act-Ratgeber für Steuerberater fehlen darf: Wie verträgt sich der KI-Einsatz mit der Verschwiegenheitspflicht nach § 57 StBerG?

Die Antwort ist nüchtern: § 57 StBerG bleibt vom AI Act unberührt. Aber: KI-Tools verschärfen die praktische Anforderung. Konkret:

Risiko-Hotspot: Mandanten-Daten (Namen, Umsätze, Steuernummern, Bilanzen) dürfen nicht in externe GPAI-Tools wie ChatGPT, Microsoft Copilot oder Google Gemini fließen — egal wie verlockend die Effizienz-Versprechen sind. Selbst eine pseudonymisierte Eingabe kann in Kombination mit anderen Daten re-identifizierbar werden.

Praktikable Lösungen:

DATEV-interne KI mit AVV ist meist unproblematisch (Daten bleiben im DATEV-Rechenzentrum).
Microsoft Copilot for Business / Enterprise mit explizit verhandelter Datenschutzvereinbarung (kein Training auf Eingaben) ist nutzbar, wenn die Kanzlei einen entsprechenden Vertrag hat. Free-/Pro-Versionen sind nicht ausreichend.
Lokale Open-Source-Modelle (Llama, Mistral) auf eigenem Server: maximale Kontrolle, aber Betreiberverantwortung steigt.
ChatGPT Plus / Enterprise: nur unter sehr spezifischen Bedingungen (kein Training-Opt-In, Data Processing Addendum) und ohne sensible Mandanteninformationen.

Bei Verstoß drohen nicht nur AI-Act-Bußgelder, sondern auch berufsrechtliche Sanktionen durch die Steuerberaterkammer und potenziell zivilrechtliche Schadenersatzpflichten aus der Mandatsverletzung.

Konkrete Pflichten — Schritt für Schritt

1. KI-Inventar anlegen (sofort)

Alle KI-Tools auflisten, die in der Kanzlei genutzt werden — inklusive der versteckten Copilot-Funktionen in Microsoft 365 und der KI-Module in DATEV. Risikoklasse pro Tool bestimmen.

2. KI-Kompetenz dokumentieren (gilt seit 02.02.2025)

Art. 4 KI-VO verlangt, dass alle Personen, die KI-Systeme einsetzen oder beaufsichtigen, über ausreichende KI-Kompetenz verfügen. Eine zweistündige interne Schulung mit Teilnehmerliste und Datum genügt — wichtig ist die Nachweisbarkeit. [Art. 4 KI-VO + ErwGr 20–21]

3. Mandantenkommunikation prüfen

Wenn Sie einen Chatbot auf der Website betreiben oder KI für Mandanten-Newsletter nutzen, prüfen Sie die Transparenzpflichten nach Art. 50. Pflicht-Beginn: 02.08.2026 (Originalfrist); Watermarking-Compliance für Anbieter: 02.12.2026 (Digital Omnibus).

4. AVVs aktualisieren

Standard-AVVs ohne KI-Klausel sind nicht mehr ausreichend. Sprechen Sie aktiv mit DATEV, Microsoft und anderen Software-Anbietern: Ist die KI-Nutzung im AVV abgedeckt? Wo werden Daten verarbeitet? Wird auf Eingaben trainiert?

5. KI-Richtlinie für die Kanzlei

Eine interne Policy regelt verbindlich, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen, wer was darf. Das ist nicht direkt KI-VO-Pflicht, aber bei Behördenanfrage Gold wert — und schützt vor Mandatsverletzungen.

Drei Fallen, in die Kanzleien aktuell tappen

Falle 1: „Wir nutzen nur DATEV, da ist KI doch automatisch erlaubt.“ — Falsch. DATEV als Anbieter erfüllt seine Pflichten, aber Sie als Betreiber haben eigene Pflichten (Art. 4, Art. 26). Eine Schulung müssen Sie selbst dokumentieren, kein Software-Anbieter macht das für Sie.

Falle 2: „Mandantendaten in ChatGPT, aber anonymisiert.“ — Heikel. Bei Steuerthemen lassen sich Namen oft aus Kontext (Umsatzhöhe, Branche, Region) re-identifizieren. § 203 StGB (Verletzung von Privatgeheimnissen) gilt auch bei „nur“ pseudonymisierten Daten in externen Diensten ohne ausreichende vertragliche Grundlage.

Falle 3: „Hochrisiko gilt erst ab Dezember 2027 — wir haben Zeit.“ — Trügerisch. Erstens ist das Datum (02.12.2027) erst nach Annahme des Digital Omnibus rechtsverbindlich; bis dahin gilt formal 02.08.2026. Zweitens betreffen Sie KI-Recruiting-Tools (Anhang III Nr. 4) sofort, wenn Sie als Kanzlei selbst KI bei der Einstellung nutzen.

Häufige Fragen

Müssen wir Mandanten informieren, wenn wir KI-Tools nutzen?

Bei klassischer Kanzleiarbeit (KI-unterstützter Schriftsatz, der vom Steuerberater geprüft und freigegeben wird): keine direkte Transparenzpflicht nach Art. 50 Abs. 4, weil menschliche redaktionelle Kontrolle erfolgt. Bei Chatbots auf der Kanzlei-Website: Art. 50 Abs. 1 verlangt einen klaren Hinweis, dass die Nutzer mit einer KI interagieren. Bei Newslettern mit KI-generierten Texten und größerem Verteiler: eher unter Art. 50 Abs. 4 — Kennzeichnung empfehlenswert.

Ist der Kanzlei-Chatbot bei der Mandantenakquise Hochrisiko-KI?

Nein. Ein typischer Frontend-Chatbot („Welche Dienstleistungen bieten Sie an?“, „Wie sind Ihre Öffnungszeiten?“) fällt unter begrenztes Risiko. Hochrisiko wäre erst gegeben, wenn der Chatbot Bonität, Vertrauenswürdigkeit oder ähnliche personenbezogene Bewertungen vornimmt.

Was passiert bei einem Verstoß gegen Art. 4 (KI-Kompetenz)?

Verstöße gegen Art. 4 fallen in die Stufe Art. 99 Abs. 4 — bis zu 15 Mio. EUR oder 3 % des Jahresumsatzes. Für eine Kanzlei mit 500 TEUR Honoraren wäre das im Worst-Case 15.000 EUR, realistisch bei Erstverstoß 1.000–5.000 EUR Verwarnungsgeld. Wichtiger ist die Reputation: Eine öffentlich gewordene Compliance-Lücke beim eigenen Compliance-Berater ist ein PR-Disaster.

Brauchen wir eine Grundrechte-Folgenabschätzung (FRIA)?

Nur in sehr spezifischen Fällen. Art. 27 FRIA-Pflicht trifft öffentliche Stellen + private Anbieter öffentlicher Dienste + Betreiber von Annex III Nr. 5(b)(c)-Systemen (Kreditwürdigkeitsbewertung, Versicherungs-Risiko-Bewertung). Für eine klassische Steuerberatung kommt FRIA nur in Betracht, wenn Sie KI-Bonitätsprognosen für Mandanten anbieten — was in 99 % der Fälle nicht zutrifft.

Welche Bußgelder drohen Steuerkanzleien konkret?

Art. 99 KI-VO: bis 35 Mio. EUR oder 7 % Jahresumsatz für Art. 5-Verstöße; bis 15 Mio. EUR oder 3 % für Betreiber- und Transparenzpflichten. Für KMU-Kanzleien gilt nach Art. 99 Abs. 6 der niedrigere Wert. Sanktionen sind seit 02.08.2025 anwendbar. Realistisch für eine Kanzlei mit 500 TEUR Honorar-Umsatz: bei mittlerem Verstoß 5.000–25.000 EUR.

AI Act Compliance Kit für Ihre Kanzlei

Fertige Word-, Excel- und PowerPoint-Vorlagen für KI-Kompetenz-Schulung (Art. 4), KI-System-Inventar, Risikoklassifizierung und KI-Richtlinie — sofort einsatzbereit. Erstellt von einem TÜV-NORD-zertifizierten Datenschutzbeauftragten.

Starter-Paket jetzt sichern (ab 149 €)

Wo steht Ihre Kanzlei? Unser kostenloses KI-Compliance Selbst-Audit zeigt Ihnen in 15 Minuten, wo Sie stehen und wo konkreter Handlungsbedarf besteht. 25 Prüfpunkte, 5 Kategorien, mit Artikelreferenzen.

Weiterlesen

Stand: Mai 2026. Dieser Artikel ist Recherche und Hilfestellung, keine Rechts- oder Steuerberatung. Für berufsrechtlich heikle Konstellationen (Verschwiegenheit nach § 57 StBerG, Mandantenakquise mit KI) konsultieren Sie bitte Ihre Steuerberaterkammer oder eine spezialisierte Rechtsanwältin.

Kostenloses Selbst-Audit: Wo steht Ihre Kanzlei?

25 Prüfpunkte mit Scoring — in 15 Minuten wissen Sie, ob Sie ein Problem haben.

Kostenloses Selbst-Audit starten →