Zum Hauptinhalt springen
Zurück zum Pillar

StBK-Aufsicht · § 76 StBerG

AI-Act-Dokumentation StBK-konform für Steuerberater

Die Steuerberaterkammer ist im Rahmen ihrer Aufsicht nach § 76 StBerG befugt, jederzeit die Einhaltung berufsrechtlicher Pflichten zu prüfen — darunter fällt seit 02.02.2025 auch die KI-VO- Dokumentation. Welche fünf Module eine prüfungsfeste Audit-Mappe ausmachen.

5-Module-Struktur einer Audit-Mappe

1

Modul 1: KI-Verzeichnis

Strukturiertes Inventar aller eingesetzten KI-Systeme mit Owner, Risikoklasse, AVV-Status, Schulungs-Stand.

  • Bezeichnung + Anbieter + Version
  • Zweck + Use-Case
  • Datenklassen (Mandanten-PII, Lohn, Steuer)
  • Risikoklasse nach KI-VO
  • AVV-/GVV-Status
  • Owner in der Kanzlei
  • Schulungs-Stand der Nutzer
  • Review-Datum + nächstes Review
2

Modul 2: DSGVO-VVT-Erweiterung

Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, ergänzt um KI-spezifische Felder.

  • Pro Verarbeitung: Zweck, Empfänger, Löschfrist
  • Verweis auf KI-Verzeichnis
  • Rechtsgrundlage (Art. 6, Art. 28 AVV)
  • Drittland-Transfer + Schutzmechanismus
  • TOM-Verweis
3

Modul 3: Schulungs-Nachweise

Dokumentierte Schulung nach Art. 4 KI-VO für alle Mitarbeiter mit KI-Kontakt.

  • Curriculum + Lernziele
  • Teilnehmerliste mit Unterschrift
  • Datum + Dauer
  • Prüfungs-Ergebnis (sofern Prüfung)
  • Anbieter / Trainer
  • Wiederholungs-Datum
4

Modul 4: AVV-/GVV-Sammlung

Auftragsverarbeitungsverträge und Geheimhaltungs-Vereinbarungen mit allen KI-Anbietern.

  • AVV nach Art. 28 DSGVO
  • GVV nach § 203 Abs. 4 StGB (bei US-Cloud-KI)
  • Subprozessoren-Liste
  • Standardvertragsklauseln bei Drittland-Transfer
5

Modul 5: Output-Kennzeichnungs-Policy

Interne Regel + Mandatsvertrag-Klausel zur Kennzeichnung KI-generierter Inhalte.

  • Interne Regel: wann Kennzeichnung
  • Standard-Footer-Formulierungen
  • Mandatsvertrag-Klausel
  • Schulungs-Hinweis für MA

StBK-Aufsicht in der Praxis

Die Steuerberaterkammer führt Aufsichtsmaßnahmen routinemäßig durch (Berufspflichtkontrolle, anlassbezogene Prüfungen, anonyme Anzeigen). Wer im Anlassfall keinen KI-Compliance-Nachweis liefern kann, riskiert eine berufsrechtliche Konsequenz nach § 89-90 StBerG.

  • Anlassbezogene Prüfung: Mandanten- oder Mitarbeiter-Beschwerde, ein § 203-StGB-Verfahren, Datenschutz- Vorfall.
  • Stichproben-Prüfung: Routinemäßig nach Kammer-Auswahl. In der Prüfungs-Anfrage werden meist 24-72h Frist gegeben.
  • Konsequenzen bei Mangel: Erste Maßnahme ist Nachbesserungs-Anordnung, danach Rüge, Geldbuße bis 50.000 EUR, im Wiederholungsfall Berufsverbot.

FAQ

Was unterscheidet das KI-Verzeichnis vom DSGVO-VVT?

Das DSGVO-VVT (Art. 30) listet personenbezogene Verarbeitungen mit Zweck + Empfänger + Löschfrist — auf der Datenebene. Das KI-Verzeichnis erfasst KI-Systeme als solche: Welches Tool, mit welcher Risikoklasse, für welchen Zweck, mit welchen Datenklassen, mit welchem Owner, mit welchem AVV-Status, mit welchem Schulungs-Stand. Beide Dokumente verweisen aufeinander. Eines ersetzt das andere nicht.

Wie tief muss die Dokumentation sein?

Pro KI-System: Bezeichnung, Anbieter, Version, Zweck, Risikoklasse nach KI-VO, Datenklassen (z.B. Mandanten-PII, Lohn-Daten, Steuer-Daten), AVV/GVV-Status, Schulungs-Stand der nutzenden MA, letztes Review-Datum, nächstes Review-Datum, verantwortlicher Owner in der Kanzlei. Bei Hochrisiko-Tools zusätzlich Konformitätsbewertung-Nachweis (vom Anbieter) und ggf. DSFA.

Wie oft muss das KI-Verzeichnis aktualisiert werden?

Bei jedem Anbieter-Tool-Update mit funktionaler Änderung, bei Wechsel des Anbieters, bei Wechsel des Owners, mindestens jährlich. Empfehlung: festes Review-Quartal (z.B. Q1 jedes Jahres) plus event-basierte Updates.

Wer prüft das im Ernstfall?

Aus berufsrechtlicher Sicht die Steuerberaterkammer (StBK) im Rahmen ihrer Aufsicht. Aus KI-VO-Sicht die zuständige nationale Marktüberwachungs-Behörde (Stand Mai 2026 noch zu benennen, Kandidaten BNetzA / BSI). Aus DSGVO-Sicht die Landesdatenschutzbehörde. Idealfall: ein Audit-Mappen-PDF, das alle drei abdeckt.

Hinweis zum Leistungsumfang

Das AI-Act-Compliance-Kit ist eine technisch-organisatorische Hilfestellung zur Umsetzung der KI-Kompetenzpflicht nach Art. 4 der EU-Verordnung 2024/1689 (KI-VO) und ersetzt keine Rechtsberatung. Vorlagen, Schulungsinhalte und Dokumentationen sind redaktionell sorgfältig erstellt, können aber den Einzelfall nicht ersetzen. Für eine rechtsverbindliche Bewertung Ihrer konkreten Situation empfehlen wir die Hinzuziehung einer Rechtsanwältin oder eines Rechtsanwalts mit Schwerpunkt IT- und Versicherungsrecht. Stand der Inhalte: Mai 2026, Quelle: Verordnung (EU) 2024/1689 (KI-VO).

Ist deine Audit-Mappe StBK-fertig?

Der AI-Act-Check zeigt dir in 4 Minuten, welche Module fehlen.

AI-Act-Check starten

Gleiches Thema, andere Branche

Dokumentation & Audit-Mappe — auch für andere Berufe

Die KI-VO-Logik ist über Berufsgruppen hinweg vergleichbar, nur Aufsicht und Berufsrecht unterscheiden sich. Diese Seiten gehen das Thema für die jeweilige Branche durch:

BaFin · § 34d GewO, VAG

Versicherungsmakler

Zur Detailseite

RAK · § 43e, § 73 BRAO

Rechtsanwälte

Zur Detailseite

WPK · § 43, § 57 WPO

Wirtschaftsprüfer

Zur Detailseite

Zurück zum Pillar: AI Act für SteuerberaterKI-VO branchenagnostisch: zum AI-Act-Hub