EU AI Act für Steuerberater: Art. 4 KI-VO, DATEV-KI und § 57 StBerG

Ja. Sobald Sie ein KI-System in Ihrer Kanzlei einsetzen — und sowohl DATEV-KI-Module als auch ChatGPT/Claude sind genau solche Systeme — sind Sie Betreiber im Sinne der KI-VO (Art. 3 Nr. 4). Damit greift seit 02.02.2025 Art. 4 KI-VO: jeder Mitarbeitende mit KI-Kontakt muss über ein angemessenes Mass an KI-Kompetenz verfügen, dokumentiert nachweisbar. Die Pflicht ist unabhängig von Häufigkeit oder Umfang der Nutzung.

Klare Antwort: ChatGPT Free / ChatGPT Plus mit Mandantendaten ist berufsrechtlich kritisch. § 57 StBerG verlangt unbedingte Verschwiegenheit; § 62a StBerG regelt die Datenverarbeitung — beides ist nur mit qualifizierter Geheimhaltungs-Vereinbarung (GVV) nach § 203 Abs. 4 StGB und ordnungsgemäßer Auftragsverarbeitung (DSGVO Art. 28) gegeben. Default-ChatGPT erfüllt das nicht. Realistisch geht nur: Enterprise-Tarife mit EU-Daten-Boundary, individuell unterzeichneter GVV/AVV, dokumentierte Risikobewertung. Verstoß kann § 203 StGB-strafbar sein.

DATEV stellt für ihre KI-Module Auftragsverarbeitungsverträge bereit; trotzdem bleibt die Kanzlei Betreiber im Sinne der KI-VO. Pflichten der Kanzlei: KI-Verzeichnis (welche Module sind aktiv, mit welchem Zweck), dokumentierte Schulung der nutzenden Mitarbeiter (Art. 4), DSGVO-VVT-Eintrag mit Zweck + Empfängern, ggf. Datenschutz-Folgenabschätzung (Art. 35 DSGVO). DATEV-Materialien (Webinare, Whitepaper) sind eine gute Schulungs-Grundlage, ersetzen aber nicht die kanzleieigene Dokumentation.

02.02.2025 (läuft): Art. 4 KI-Kompetenznachweis und Art. 5 verbotene Praktiken sind anwendbar. 02.08.2025 (läuft): GPAI-Pflichten und Sanktions-Rahmen (Art. 99) wirken. 02.08.2026 (rechtl. Stichtag): Hochrisiko-Pflichten Anhang III — für Steuerberater praktisch relevant bei Mandanten-Bonitäts-Scoring (Anhang III Nr. 5b) oder KI-gestützten Beschäftigungs-Entscheidungen (Nr. 4). Nach der Trilog-Einigung zum Digital Omnibus on AI vom 7. Mai 2026 (COREPER-Bestätigung 13.05.2026) ist eine Verschiebung auf 02.12.2027 vorgesehen — formelle Annahme durch Parlament und Rat steht aus. KI-Verzeichnis und dokumentierte Schulung nach Art. 4 sind unabhängig davon Pflicht.

Der theoretische Rahmen geht bis 35 Mio. EUR oder 7 % Weltjahresumsatz bei verbotenen Praktiken (Art. 99 Abs. 3); 15 Mio. / 3 % bei Hochrisiko-/Transparenz-Verstößen; 7,5 Mio. / 1 % bei Falschangaben. Bei KMU greift Art. 99 Abs. 6: jeweils niedrigerer Schwellenwert. Beispielrechnung 5-MA-Kanzlei mit 1,2 Mio. EUR Umsatz: maximales Hochrisiko-Bußgeld 3 % von 1,2 Mio. = 36.000 EUR. Realistisch ist bei Erstverstoß eine Anordnung zur Nachbesserung oder eine deutlich niedrigere Summe — aber die berufsrechtlichen Konsequenzen (StBK-Rüge, Geldbuße bis 50.000 EUR, im Wiederholungsfall Berufsverbot) sind oft das größere Risiko.

Die Bundessteuerberaterkammer (BStBK) hat im Januar 2026 einen FAQ-Katalog zur KI-Nutzung veröffentlicht (Stand 27.01.2026, Rechtsstand Juli 2025). Der Deutsche Steuerberaterverband (DStV) hat eine Muster-KI-Anwendungsrichtlinie publiziert. Beide Dokumente sind hilfreich, ersetzen aber nicht die kanzleieigene Pflicht-Dokumentation nach Art. 4 KI-VO und DSGVO. Auf Landeskammer-Ebene laufen ergänzende Fortbildungs-Angebote über das Fachberater-Institut und die IFU-Steuer-Akademien.

Anerkannte Optionen: Fachberater-Institut des DStV (KI-Module 2025/2026 in Pflichtstunden anrechenbar), IFU-Steuer-Akademie, Akademie der Steuerberater (Landeskammer-spezifisch), AI SEALS, Endriss (Zertifizierter KI-Experte Steuer/Rechnungswesen). Wichtig ist nicht der Anbieter, sondern dass die Schulung die KI-VO-Achsen (Art. 4 Kompetenz, Art. 5 verbotene Praktiken, DSGVO, §57 StBerG) konkret zu Ihrer Kanzlei-Toolchain abdeckt — und dass Teilnehmer + Datum + Inhalt nachweisbar sind.

Eine strukturierte, fortlaufend gepflegte Liste aller eingesetzten KI-Systeme. Pro System: Bezeichnung (z.B. DATEV KI-Assistent v3, ChatGPT Team, M365 Copilot), Zweck (z.B. Belegerkennung, Mandanten-Korrespondenz, Lohnabrechnung), eingesetzte Datenklassen (z.B. Mandanten-PII, Lohn-Daten), Risikoklasse nach KI-VO, Owner in der Kanzlei, AVV-Status, Schulungs-Status der Nutzer, letztes Review-Datum. Das KI-Verzeichnis ergänzt das DSGVO-VVT, ersetzt es nicht.

Art. 50 KI-VO verlangt rechtlich ab 02.08.2026 eine Kennzeichnung bei bestimmten KI-Outputs, insbesondere wenn diese für eine breite Öffentlichkeit erstellt sind oder den Eindruck menschlicher Urheberschaft erwecken (nach Trilog-Einigung zum Digital Omnibus on AI vom 7. Mai 2026 voraussichtlich verschoben auf 02.12.2026, formelle Annahme ausstehend). Für interne Mandanten-Korrespondenz ist die Kennzeichnung nicht in jedem Einzelfall zwingend, aber aus Berufshaftpflicht- und Verschwiegenheits-Sicht stark empfohlen. Sinnvoll: pauschaler Hinweis in der Mandatsvereinbarung + situative Kennzeichnung bei wesentlichen Schriftsätzen.

DATEV / Wolters Kluwer (Addison) sind Anbieter im Sinne von Art. 3 Nr. 3 KI-VO — sie bringen das System auf den Markt. Die Steuerkanzlei ist Betreiber (Art. 3 Nr. 4) — sie setzt das System unter eigener Aufsicht ein. Die Pflichten sind verschieden: Anbieter erstellt Konformitätsbewertung, technische Dokumentation, Risikomanagement (Art. 9-15). Betreiber muss Mitarbeiter schulen (Art. 4), das System gemäß Anweisungen einsetzen, Inputdaten passend wählen, Aufsicht ausüben, Logs aufbewahren (Art. 26). Beide Rollen können sich verschieben, wenn die Kanzlei das System wesentlich anpasst.