Microsoft 365, Copilot und das Steuerberatergeheimnis

Microsoft 365 hat sich in kürzester Zeit zu einem zentralen Arbeitsinstrument auch in Steuerkanzleien entwickelt. Outlook, Teams, SharePoint und OneDrive ermöglichen effiziente Zusammenarbeit, standortübergreifende Kommunikation und modernes Dokumentenmanagement. Für viele Kanzleien ist Microsoft 365 heute unverzichtbar.

Mit Microsoft Copilot geht Microsoft nun einen Schritt weiter: Künstliche Intelligenz wird direkt in den Arbeitsalltag integriert. E-Mails werden zusammengefasst, Dokumente analysiert, Inhalte recherchiert und Texte formuliert – alles scheinbar nahtlos und produktivitätssteigernd.

Genau an diesem Punkt beginnt jedoch eine rechtliche und berufsrechtliche Fragestellung, die bislang häufig unterschätzt wird.

Microsoft 365 ist nicht Microsoft Copilot

In der öffentlichen Wahrnehmung werden Microsoft 365 und Copilot oft als ein einheitliches Produkt verstanden. Aus rechtlicher Sicht ist diese Gleichsetzung jedoch problematisch.

Microsoft 365 ist in erster Linie eine Cloud-basierte Arbeitsumgebung. Bei entsprechender vertraglicher Ausgestaltung, Nutzung europäischer Rechenzentren und klaren organisatorischen Maßnahmen ist der Einsatz in einer Steuerberatung grundsätzlich möglich.

Microsoft Copilot hingegen ist kein bloßes Komfort-Feature, sondern ein KI-System, das Inhalte aktiv analysiert, interpretiert und verarbeitet. Sobald Copilot eingesetzt wird, findet eine zusätzliche Verarbeitung personenbezogener Daten statt – häufig auch von hoch sensiblen Mandantendaten.

Damit ändert sich die rechtliche Qualität der Datenverarbeitung grundlegend.

Steuerberatergeheimnis und DSGVO: kein theoretisches Konstrukt

Steuerberater unterliegen einer besonderen berufsrechtlichen Verantwortung. Das Steuerberatergeheimnis ist kein formales Relikt, sondern die Grundlage des Vertrauensverhältnisses zwischen Mandant und Berater.

Rechtlich relevant sind dabei insbesondere:

• § 57 StBerG (Verschwiegenheitspflicht)

• Art. 5 DSGVO (Zweckbindung und Datenminimierung)

• Art. 28 DSGVO (Auftragsverarbeitung)

• Art. 35 DSGVO (Datenschutz-Folgenabschätzung)

• Art. 44 ff. DSGVO (Drittlandtransfer)

Sobald ein KI-System wie Copilot Zugriff auf E-Mails, Dokumente oder Akten erhält, werden Mandanteninformationen automatisiert verarbeitet – auch dann, wenn Microsoft zusichert, diese Daten nicht zum Training zu verwenden.

Entscheidend ist nicht die Frage des Trainings, sondern die Verarbeitung an sich.

Die Realität: Copilot wird häufig genutzt – oft ohne Risikobewusstsein

In der Praxis zeigt sich ein anderes Bild: Microsoft Copilot wird bereits heute in vielen Kanzleien eingesetzt – häufig ohne Datenschutz-Folgenabschätzung, ohne Mandanteneinwilligung und ohne klare interne Nutzungsregeln.

Das ist nachvollziehbar. Die Technologie ist überzeugend, der Effizienzgewinn spürbar und der rechtliche Rahmen komplex. Dennoch entsteht hier ein erhebliches Haftungsrisiko:

• berufsrechtlich

• datenschutzrechtlich

• haftungsrechtlich

• reputationsbezogen

Besonders kritisch ist, dass Copilot standardmäßig breiten Zugriff auf Outlook, SharePoint und Teams benötigt, um sinnvoll zu funktionieren. Eine saubere Trennung zwischen sensiblen und nicht-sensiblen Inhalten ist im Kanzleialltag kaum realistisch umzusetzen.

Damit bewegen sich viele Kanzleien in einem rechtlichen Graubereich – oft ohne sich dessen bewusst zu sein.

Datenschutz-Folgenabschätzung ist kein Selbstzweck

Der Einsatz von Copilot erfüllt regelmäßig die Voraussetzungen für eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Diese ist kein bürokratisches Hindernis, sondern ein Instrument zur bewussten Risikoabwägung.

Eine seriöse DSFA zwingt zur Klärung zentraler Fragen:

• Welche Daten sieht die KI tatsächlich?

• Welche Daten darf sie nicht sehen?

• Welche technischen Zugriffsbeschränkungen existieren?

• Wie wird das Restrisiko bewertet und dokumentiert?

• Wie werden Mandanten transparent informiert?

Wer diese Fragen nicht beantworten kann, trägt das Risiko nicht nur faktisch – sondern auch rechtlich.

Warum wir uns für eine andere Lösung entschieden haben

Vor diesem Hintergrund haben wir uns bewusst gegen einen uneingeschränkten Einsatz von Microsoft Copilot entschieden – nicht aus Technologiefeindlichkeit, sondern aus Verantwortung.

Unsere Lösung folgt einer klaren Zwei-Säulen-Strategie:

Säule 1: Microsoft 365 für den täglichen Geschäftsbetrieb Outlook, Teams und SharePoint werden weiterhin umfassend genutzt. Die Vorteile moderner Zusammenarbeit bleiben vollständig erhalten.

Säule 2: Eigene, selbst betriebene KI für mandantenbezogene Daten Für KI-gestützte Analyse, Recherche und Auswertung sensibler Inhalte setzen wir auf eine eigene, selbst gehostete KI-Infrastruktur. Die Daten bleiben unter unserer Kontrolle. Die KI kommt zu den Daten – nicht umgekehrt.

Damit verbinden wir technologische Leistungsfähigkeit mit rechtlicher Klarheit.

KI braucht Kontrolle – nicht blinden Einsatz

Künstliche Intelligenz wird die Steuerberatung nachhaltig verändern. Daran besteht kein Zweifel. Die entscheidende Frage lautet jedoch nicht, ob KI eingesetzt wird, sondern wie.

Technologischer Fortschritt ohne rechtliche Reflexion gefährdet Vertrauen. Vertrauen ist jedoch das zentrale Kapital einer Steuerberatung – gerade in einer Zeit wachsender Transparenzanforderungen und zunehmender Regulierung.

Unsere Überzeugung ist klar: KI muss sich an Recht und Berufsethos anpassen – nicht umgekehrt.

Fazit

Microsoft 365 ist ein leistungsfähiges Werkzeug für den Kanzleialltag. Microsoft Copilot ist eine beeindruckende Technologie. Doch gerade in der Steuerberatung gilt: Nicht alles, was technisch möglich ist, ist auch rechtlich und berufsrechtlich verantwortbar.

Wer KI einsetzen möchte, sollte dies bewusst, dokumentiert und transparent tun. Alles andere ist kein Fortschritt, sondern ein Risiko.