KI-Systeme und das Steuerberatergeheimnis
Erstveröffentlichung: 02. Februar 2026
KI-Funktionen werden in Steuerkanzleien zunehmend Bestandteil des Arbeitsalltags – etwa zum Zusammenfassen von Texten, zur Analyse von Dokumenten oder zur Kontextualisierung von Informationen. Viele Kanzleien nutzen dafür bereits Microsoft 365 als digitale Arbeitsumgebung. Mit Copilot kommen KI-Funktionen hinzu, die Inhalte nicht nur speichern oder übertragen, sondern aktiv verarbeiten.
Gerade in der Steuerberatung ist das rechtlich sensibel, weil Mandatsinformationen regelmäßig dem Steuerberatergeheimnis und zugleich der DSGVO unterliegen. Der Nutzen kann hoch sein – die Risiken entstehen jedoch schnell, wenn Datenflüsse, Berechtigungen und Verantwortlichkeiten nicht sauber gestaltet sind.
Microsoft 365 und Copilot: rechtlich nicht dasselbe
| Thema | Microsoft 365 (Infrastruktur) | Copilot (KI-Verarbeitung) |
|---|---|---|
| Typische Funktion | E-Mail, Dateien, Kollaboration | Zusammenfassen, Analysieren, Formulieren, „Chat mit Kanzlei-Inhalten“ |
| Datenbezug | Speichern/Übertragen/Organisieren | Interpretation & Auswertung bestehender Inhalte |
| Kernrisiko | Cloud-/Dienstleisterrisiko beherrschbar durch Verträge & Organisation | Zusätzliche Verarbeitung (Prompts/Antworten/Analyse) und damit höhere Anforderungen an Geheimnisschutz & Datenschutz |
Praxisrelevanz: Diese Unterscheidung wird häufig übersehen – obwohl sie in der Risikobewertung zentral ist.
Berufsrechtlicher Rahmen: Steuerberatergeheimnis
Steuerberater sind zur Verschwiegenheit verpflichtet. Mandantendaten dürfen nur verarbeitet werden, wenn dies berufsrechtlich zulässig ist. Die Einbindung externer Dienstleister – einschließlich KI-Systemen – ist nur unter engen Voraussetzungen vertretbar.
Entscheidend ist dabei nicht primär, ob Daten „trainiert“ werden, sondern ob Dritte (Cloud-/KI-Anbieter, Subunternehmer, zusätzliche Dienste) Zugriff erhalten oder Daten verarbeiten. Schon das automatisierte Analysieren von E-Mails, Dokumenten oder Akten kann berufsrechtlich relevant sein – je nach konkreter technischen Ausgestaltung und Zugriffslage.
Datenschutzrechtliche Anforderungen (DSGVO)
Neben dem Berufsrecht sind insbesondere diese Punkte für Kanzleien relevant:
Zweckbindung & Datenminimierung: KI nur für klar definierte Zwecke, mit klaren Grenzen („Was darf hinein – was nicht?“).
Auftragsverarbeitung & Kontrollpflichten: Dienstleisterbindung muss vertraglich, organisatorisch und technisch belastbar sein (inkl. Subdienstleister).
Datenschutz-Folgenabschätzung (DSFA): KI-Einsatz kann – je nach Umfang, Sensibilität und Kontrollmöglichkeiten – ein hohes Risiko darstellen und eine DSFA erforderlich machen.
Drittlandtransfers: Sobald Datenverarbeitungen außerhalb der EU/des EWR oder unter Einfluss drittländischer Zugriffsregime stattfinden könnten, steigt die Prüf- und Dokumentationslast.
Praxisrealität: Nutzung oft ohne vollständige Risikobewertung
In der Praxis wird Copilot teils eingeführt, ohne dass:
eine belastbare Risikoanalyse/DSFA-Prüfung dokumentiert ist,
Mandanten transparent informiert sind (wo erforderlich),
Zugriffs- und Berechtigungskonzepte konsequent umgesetzt wurden.
Der Effizienzgewinn ist real – das Haftungs‑, Berufsrechts‑ und Reputationsrisiko entsteht jedoch häufig durch fehlende Governance, nicht durch die KI „an sich“.
Technische Grenzen einer „eingeschränkten Nutzung“
Copilot benötigt für seine Funktionsweise typischerweise breiten Zugriff auf Inhalte (E-Mails, Dokumente, Kommunikation). Eine saubere Trennung zwischen sensiblen und nicht-sensiblen Daten ist im Kanzleialltag oft nur eingeschränkt praktikabel.
Kernaussage: Wenn die Datenbasis „zu offen“ ist, wird Copilot rechtlich und organisatorisch schnell schwer beherrschbar.
Verantwortungsvoller Lösungsansatz: Zwei-Säulen-Modell
Ein tragfähiger Weg besteht darin, Infrastruktur und KI-Verarbeitung konsequent zu trennen:
Microsoft 365 als moderne Plattform für Kommunikation, Zusammenarbeit und Dokumentenorganisation (mit sauberer Rechteverwaltung, Vertragswerk, Sicherheits- und Compliance-Maßnahmen).
Eigene bzw. kontrollierte KI-Lösungen für die Verarbeitung mandantenbezogener Inhalte (in einer separaten, streng abgeschotteten Umgebung), um Kontrolle, Vertraulichkeit und Nachvollziehbarkeit zu sichern.
So lassen sich Effizienzgewinne erreichen, ohne das Steuerberatergeheimnis durch unklare Datenflüsse zu gefährden.
Kurz-Checkliste für Kanzleien
Use-Cases definieren: Wofür darf KI genutzt werden – und wofür nicht?
Datenklassen festlegen: Mandatsdaten/Geheimnisse als „No-Go“ für unkontrollierte KI-Workflows.
Berechtigungen aufräumen: „Need-to-know“ in SharePoint/Teams/E-Mail-Verteilern.
Verträge & Subdienstleister prüfen: Auftragsverarbeitung, Zugriffsketten, technische Garantien.
DSFA-Prüfung dokumentieren: insbesondere bei systematischer Analyse sensibler Inhalte.
Prompt-Regeln: klare interne Richtlinie („Keine Mandantendetails in Prompts“ – sofern nicht in kontrollierter Umgebung).
Schulung & Verantwortlichkeit: KI-Kompetenz, Freigabeprozesse, Incident-Management.
KI ist in der Steuerberatung kein Selbstzweck. Maßgeblich ist die Vereinbarkeit mit Berufsrecht, Datenschutz und Mandantenvertrauen. Standardlösungen sind selten „out of the box“ passend – erforderlich ist ein kontrollierter, dokumentierter Ansatz.
Im Rahmen der PlattesGroup umfasst die praktische Begleitung typischerweise die strukturierte Risiko- und Vertragsprüfung, die Governance (Berechtigungen, Prozesse, Dokumentation) sowie – wo einschlägig – die sorgfältige Prüfung angrenzender Themen wie Datenräume in Immobilientransaktionen oder die konsistente Verarbeitung für Steuererklärungen.
