KI in Steuerkanzleien: Mehr als nur Tools
Die Diskussion um den Einsatz von Künstlicher Intelligenz in Steuerkanzleien wird derzeit von einem Thema beherrscht: Tools. Überall wird experimentiert – sei es mit neuen KI-Assistenten, Agenten oder Automatisierungs-Add-ons. Die Versuchung ist groß, „einfach mal loszulegen“. Doch genau darin liegt eine erhebliche Gefahr: Wer die rechtlichen und organisatorischen Grundlagen nicht mitdenkt, setzt seine Kanzlei massiven Risiken aus.
Ein aktuelles Beispiel aus der Rechtsprechung zeigt das eindrücklich: Das Verwaltungsgericht Bremen hat am 14.07.2025 (Az. 2 K 763/23) entschieden, dass die automatisierte Festsetzung von Abfallgebühren gegen Art. 22 DSGVO verstoßen kann. Das Gericht stellte klar, dass es nicht genügt, wenn Mitarbeiter nur Programme anstoßen oder stichprobenartig kontrollieren – eine echte Entscheidung durch einen Menschen muss stattfinden.
Diese Erkenntnis betrifft nicht nur die öffentliche Verwaltung, sondern auch die Privatwirtschaft – und damit auch Steuerberater, die zunehmend KI-gestützte Systeme einsetzen.
1. Automatisierte Entscheidungen nach Art. 22 DSGVO
Art. 22 DSGVO sieht ein grundsätzliches Verbot vor:
Niemand darf einer ausschließlich automatisierten Entscheidung unterworfen werden, die eine rechtliche Wirkung entfaltet oder eine Person erheblich beeinträchtigt.
Für Steuerkanzleien heißt das: Prozesse wie Bewerberauswahl, Personaleinsatzplanung oder die Mandantenannahme über Scoring-Verfahren können unter dieses Verbot fallen. Auch Mandantenprozesse wie Bonitätsbewertungen, Risikoanalysen oder Liquiditätsprognosen sind betroffen, sobald sie Entscheidungen mit Wirkung für natürliche Personen auslösen. Es genügt nicht, wenn ein Mitarbeiter das System nur „anstößt“ oder ein Häkchen setzt – entscheidend ist, ob er wirklich eigenständig entscheidet. Genau das hat das VG Bremen hervorgehoben.
2. Die zulässigen Ausnahmen – und ihre Grenzen
Automatisierte Entscheidungen sind nur in Ausnahmefällen erlaubt, etwa wenn sie für den Vertragsabschluss zwingend erforderlich sind, eine gesetzliche Grundlage besteht oder Betroffene ausdrücklich eingewilligt haben. Doch gerade im Kanzleialltag sind diese Ausnahmen nur selten anwendbar. Bei Bewerbungen, der Mandantenannahme oder interner Mitarbeitersteuerung bleibt es heikel: Hier braucht es echte menschliche Aufsicht, klare Dokumentation und transparente Informationspflichten.
3. Der EU AI Act als zweite Regulierungsebene
Während die DSGVO die Rechte der Betroffenen schützt, reguliert der EU AI Act die Technologie selbst. Besonders relevant ist er für Steuerkanzleien, wenn KI-Systeme im Bereich HR und Bewerbungen eingesetzt werden, denn diese gelten als High-Risk-Systeme. Auch Systeme zur Kreditwürdigkeit, zum Scoring oder zur Mandantenselektion können in diese Kategorie fallen. Für solche Systeme verlangt der AI Act strenge Anforderungen: Risikomanagement, Bias-Prüfungen, Dokumentation, Logging, Transparenz und immer eine menschliche Aufsicht.
Damit müssen Kanzleien zwei Rechtsrahmen gleichzeitig beachten: Zum einen die DSGVO, die fragt, ob eine Entscheidung überhaupt automatisiert getroffen werden darf, und zum anderen den EU AI Act, der prüft, wie ein System technisch und organisatorisch ausgestaltet sein muss.
4. B2B und B2C – was heißt das in der Praxis?
Manche meinen, diese Regeln seien nur im Verhältnis zu Privatkunden relevant. Das ist jedoch zu kurz gedacht. Bei Mandanten, Bewerbern oder Mitarbeitern im B2C-Bereich liegt der Anwendungsbereich auf der Hand. Aber auch im B2B-Kontext gilt Vorsicht: Sobald Einzelunternehmer oder Freiberufler betroffen sind, handelt es sich um personenbezogene Daten. Selbst bei GmbHs können Überschneidungen entstehen, wenn Geschäftsführer oder Ansprechpartner betroffen sind. Und unabhängig davon gilt der AI Act, sobald ein KI-System in einem High-Risk-Kontext genutzt wird – auch wenn die Entscheidung nur ein Unternehmen betrifft.
Nur weil etwas technisch geht muss es nicht erlaubt sein.
5. Warum „schnelle KI-Agenten“ gefährlich sind
Viele Kanzleien berichten uns: „Wir haben da eine Agentur, die bastelt uns schnell einen KI-Agenten.“ Kurzfristig klingt das attraktiv, doch hier lauern die größten Risiken. Nur weil etwas technisch geht muss es nicht erlaubt sein. Wer DSGVO und Betroffenenrechte nicht von Anfang an berücksichtigt, schafft Compliance-Lücken. Ohne Risikoklassifizierung und Dokumentation verstößt das System gegen den AI Act – mit Bußgeldern bis zu 35 Mio. Euro. Und ein isolierter KI-Agent ohne Governance lässt sich nicht in die Gesamtstrategie einer Kanzlei einbetten. Das Ergebnis sind Lösungen, die weder rechtssicher noch nachhaltig sind.
6. Duale Expertise: Recht + Technologie
Genau hier liegt der Unterschied zwischen kurzfristigen IT-Lösungen und einer echten Trusted-Advisor-Strategie. Wir verbinden juristische Expertise (DSGVO, EU AI Act, berufsrechtliche Vorgaben für Steuerberater) mit technologischer Kompetenz (Microsoft 365, Azure, Copilot, Fabric). Anstatt einzelne Tools zu verkaufen, entwickeln wir mit Kanzleien Plattform-Strategien, die Sicherheit, Automatisierung und Mandantenorientierung vereinen. KI-Systeme werden von Beginn an so implementiert, dass sie nicht nur technisch funktionieren, sondern auch rechtlich belastbar und organisatorisch eingebettet sind.
7. Fazit: KI in der Kanzlei braucht Strategie – nicht nur Technik
Für Steuerberater bedeutet das: Wer KI-Systeme nutzen will, muss die rechtlichen Grenzen automatisierter Entscheidungen kennen und sowohl DSGVO als auch EU AI Act parallel beachten. „Schnell mal einen Agenten bauen“ klingt verlockend, führt aber in der Praxis zu Compliance-Risiken und teuren Nacharbeiten. Der richtige Weg sind strategisch geplante, rechtlich fundierte und technisch saubere Implementierungen, bei denen Recht und Technologie zusammengedacht werden. Genau das ist die Rolle des Trusted Advisors – und genau hier unterscheiden wir uns von klassischen IT-Häusern oder Beratern, die nur eine Seite sehen.
Fazit in einem Satz:
Kanzleien, die KI einsetzen wollen, brauchen nicht nur Tools – sie brauchen Dual-Expertise in Recht und Technologie, damit Digitalisierung, Automatisierung und Compliance Hand in Hand gehen.
