Im Februar 2026 hat die Bundessteuerberaterkammer ihren FAQ-Katalog „KI im steuerberatenden Berufsstand" veröffentlicht. 47 Seiten, Rechtsstand Juli 2025. Die zentrale Aussage steht auf Seite 12: Ein Standard-AVV genügt nicht. Steuerberater brauchen zusätzlich eine §203-Verpflichtungserklärung, bevor Mandantendaten in ein KI-Tool fließen dürfen. Wer das vergisst, riskiert nicht nur ein DSGVO-Bußgeld. Er riskiert eine Freiheitsstrafe.
Das klingt dramatischer, als es im Alltag sein muss. Aber es verändert, wie eine Kanzlei KI-Tools rechtssicher einsetzt. Dieser Artikel erklärt die doppelte Absicherung (DSGVO plus Berufsgeheimnis), zeigt, wo das DATEV-Ökosystem bereits abgedeckt ist, und gibt einen Schnellcheck für jedes neue Werkzeug.
Warum Steuerkanzleien strengere Regeln haben
Ein Handwerksbetrieb, der KI nutzt, muss die DSGVO einhalten. Eine Steuerkanzlei muss die DSGVO einhalten und §203 StGB. Das ist ein Unterschied, der in der Praxis oft übersehen wird.
§203 StGB schützt das Berufsgeheimnis. Steuerberater, Wirtschaftsprüfer und ihre Mitarbeiter dürfen Mandantengeheimnisse nicht unbefugt offenbaren. „Offenbaren" bedeutet: einer Person zugänglich machen, die nicht zur Kenntnis berechtigt ist. Wenn ein Steuerberater einen Mandantennamen, eine Steuernummer oder Einkommensdaten in ChatGPT Free eingibt, ist das eine Offenbarung gegenüber OpenAI. Und OpenAI ist ohne weitere Vereinbarung nicht zur Kenntnis berechtigt.
Die DSGVO-Ebene kommt obendrauf. Art. 28 DSGVO verlangt einen Auftragsverarbeitungsvertrag. Aber: Ein AVV allein macht OpenAI nicht zum „befugten Empfänger" im Sinne von §203. Dafür braucht es eine separate Verpflichtungserklärung.
AVV plus §203-Verpflichtung: die doppelte Absicherung
Seit 2017 erlaubt §203 Abs. 3 Satz 2 StGB die Einschaltung externer Dienstleister als „sonstige mitwirkende Personen". Das umfasst Cloud-Anbieter. Aber es gibt drei Voraussetzungen, die kumulativ erfüllt sein müssen:
- Erforderlichkeit: Die Einschaltung muss für die ordnungsgemäße Berufsausübung erforderlich sein. KI-gestützte Belegverarbeitung, automatische Sachkontierung oder Mandantenkommunikation sind typischerweise erforderlich. Ein reines „Ausprobieren" ohne konkreten Kanzleizweck ist es nicht.
- Verpflichtung in Textform: Der Anbieter muss in Textform (§126b BGB) zur Geheimhaltung verpflichtet werden. Er muss über die strafrechtlichen Folgen einer Verletzung belehrt werden. Das ist nicht dasselbe wie ein AVV. Es ist ein separates Dokument.
- Sorgfältige Auswahl und Überwachung: Sie müssen den Anbieter so auswählen, dass die Geheimhaltung gewährleistet ist. Und Sie müssen das laufend überprüfen. Ein Anbieter ohne EU-Datenresidenz, ohne klare Löschfristen und ohne Ausschluss von Modelltraining besteht diese Prüfung nicht.
In der Praxis heißt das: Sie brauchen zwei Dokumente. Den AVV nach Art. 28 DSGVO (Pflicht für die Datenschutzbehörde). Und die §203-Verpflichtungserklärung (Pflicht für die Staatsanwaltschaft). Beide müssen vor der ersten Eingabe von Mandantendaten vorliegen.
Was das für gängige Tools bedeutet:
- ChatGPT Free: Kein AVV, kein Opt-out aus Modelltraining. Mandantendaten hier einzugeben ist ein §203-Verstoß. Punkt.
- ChatGPT Enterprise / Microsoft Copilot (M365): AVV verfügbar. Modelltraining deaktiviert. Die §203-Verpflichtung muss separat eingeholt werden, ist aber bei Enterprise-Verträgen verhandelbar.
- Anthropic (Claude API): AVV mit EU-Datenresidenz-Option verfügbar. Kein Modelltraining auf API-Daten. §203-Verpflichtung separat erforderlich.
- Aleph Alpha (Heidelberg): AVV verfügbar. Verarbeitung ausschließlich in Deutschland. §203-Kompatibilität als USP beworben.
Wo DATEV bereits abgedeckt ist
Die meisten Kanzleien arbeiten ohnehin im DATEV-Ökosystem. Und hier ist die gute Nachricht: DATEVs Standardverträge umfassen bereits einen AVV und eine §203-konforme Vertraulichkeitsverpflichtung. Die integrierten KI-Funktionen (Automatische Sachkontierung, Mandantenbriefgenerator, Recherche-Copilot in DATEV Wissen) laufen innerhalb dieses bestehenden Vertragsrahmens.
Das heißt: Wer DATEVs eigene KI-Werkzeuge nutzt, braucht keine zusätzlichen Verträge. Die Rechtsgrundlage ist bereits da. Anders sieht es aus, sobald Tools außerhalb des DATEV-Ökosystems ins Spiel kommen. Ein separater Chatbot für Mandantenanfragen, ein Transkriptionsdienst für Besprechungen oder ein externer Textentwurf-Assistent brauchen jeweils eigene AVV plus §203-Verpflichtung.
Typische Grauzone: Ein Mitarbeiter nutzt ChatGPT im Browser für eine Formulierungshilfe, „ohne Mandantendaten". In der Praxis fließen fast immer Kontextinformationen mit, aus denen sich der Mandant identifizieren lässt. Name des Unternehmens, Branche plus Umsatzgröße, steuerliche Konstellation. Das reicht für einen §203-Verstoß. Die KI-Schulungspflicht nach Art. 4 EU AI Act verlangt genau dafür dokumentierte Unterweisungen.
Löschfristen: Was §147 AO nach BEG IV verlangt
Die DSGVO sagt: löschen, sobald der Zweck entfällt. Die AO sagt: aufbewahren, solange die Frist läuft. In der Kanzlei gewinnt die längere Frist. Seit dem Bürokratieentlastungsgesetz IV (gültig ab 01.01.2025) gelten folgende Fristen:
- 10 Jahre: Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen (§147 Abs. 3 Nr. 1 AO)
- 8 Jahre: Buchungsbelege, Rechnungen, Kontoauszüge, Lohnabrechnungen (§147 Abs. 3 Nr. 4 AO, verkürzt durch BEG IV von zuvor 10 Jahren)
- 6 Jahre: Handels- und Geschäftsbriefe (§257 Abs. 4 HGB)
Für KI-verarbeitete Dokumente gilt: Wenn ein Beleg durch ein KI-Tool läuft (etwa zur GoBD-konformen Klassifizierung), ändert das nichts an der Aufbewahrungsfrist. Der Beleg selbst fällt unter die AO-Frist. Die KI-Verarbeitung (Prompt, Ausgabe, Kontext) beim Anbieter sollte dagegen so kurz wie möglich gespeichert werden.
Empfehlung: Klären Sie im AVV die Speicherdauer beim Anbieter. OpenAI speichert API-Daten standardmäßig 30 Tage. DATEV speichert innerhalb Ihrer Mandantenumgebung mit Ihren eigenen Löschregeln. Alles, was Sie für die Fristwahrung brauchen, gehört ins eigene DMS. Nicht auf die Server eines KI-Anbieters.
Wann braucht die Kanzlei eine DSFA?
Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung bei „voraussichtlich hohem Risiko". Die EDSA (Europäischer Datenschutzausschuss) hat neun Kriterien definiert. Sind zwei oder mehr erfüllt, ist eine DSFA in der Regel erforderlich.
Für eine Kanzlei, die KI-Tools auf Mandantendaten einsetzt, treffen typischerweise zwei bis drei Kriterien zu:
- Neue Technologien (Kriterium 8): KI-basierte Verarbeitung gilt als neue Technologie im Sinne von Art. 35 Abs. 1.
- Vertrauliche oder hochpersönliche Daten (Kriterium 4): Finanzdaten, Steuerbescheide, Einkommensverhältnisse sind hochpersönlich. Sie fallen zwar nicht unter Art. 9 DSGVO (besondere Kategorien), gelten aber nach EDSA-Leitlinien als schützenswert genug, um das Kriterium auszulösen.
- Systematische Verarbeitung (Kriterium 3): Sobald die KI-Nutzung regelmäßig und strukturiert erfolgt (nicht einmalig), greift dieses Kriterium.
Was bedeutet das praktisch? Wenn Ihre Kanzlei ein KI-Tool systematisch für Belegverarbeitung, Mandantenkommunikation oder Recherche einsetzt, sollten Sie eine DSFA durchführen. Eine DSFA ist kein Gutachten. Es ist eine strukturierte Risikoanalyse: Was wird verarbeitet, welche Risiken bestehen, welche Maßnahmen mildern sie. Für eine 5-Personen-Kanzlei ist das ein halber Tag Arbeit, nicht ein Projekt.
Der 7-Punkte-Check vor jedem neuen Tool
Bevor Sie ein KI-Tool in der Kanzlei freischalten, klären Sie diese sieben Fragen:
- AVV vorhanden? Bietet der Anbieter einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO an? Ist Modelltraining auf Ihren Daten ausgeschlossen?
- §203-Verpflichtung eingeholt? Hat der Anbieter eine Vertraulichkeitsverpflichtung in Textform unterzeichnet, die auf die strafrechtlichen Folgen hinweist?
- Serverstandort geprüft? EU-Datenresidenz ist der sichere Weg. US mit DPF-Zertifizierung ist zulässig, aber unsicher (Schrems III droht). Drittland ohne Angemessenheitsbeschluss: nicht freigeben.
- Datenkategorien definiert? Welche Mandantendaten dürfen eingegeben werden? Je enger die Definition, desto geringer das Risiko. Dokumentieren Sie das in der internen Richtlinie.
- Löschfristen geklärt? Wie lange speichert der Anbieter Eingabe- und Ausgabedaten? Können Sie die Löschung veranlassen?
- DSFA erforderlich? Wenn das Tool systematisch Mandantendaten verarbeitet: ja. Dokumentieren Sie die Risikoanalyse.
- Mitarbeiter unterwiesen? Wissen alle Mitarbeiter, welche Daten in das Tool dürfen und welche nicht? Ist das in der dokumentierten Schulung festgehalten?
Sieben Fragen. Wer alle mit „ja" beantwortet, hat die doppelte Absicherung. Wer bei einer Frage stockt: klären, bevor der erste Prompt rausgeht.
Kein Verbot, sondern ein Rahmen
§203 StGB verbietet nicht die Nutzung von KI. Er verbietet die unbefugte Offenbarung von Mandantengeheimnissen. Seit 2017 ist klar, wie Cloud-Anbieter befugt werden: durch Verpflichtung in Textform. Und die DSGVO verbietet nicht die Verarbeitung von Mandantendaten durch Dritte. Sie verlangt, dass ein AVV vorliegt und die Verhältnismäßigkeit stimmt.
Für Kanzleien, die bereits im DATEV-Ökosystem arbeiten, ist der Großteil bereits abgedeckt. Für jedes Tool außerhalb dieses Rahmens brauchen Sie zwei Dokumente und eine halbe Stunde Prüfung. Kein Projekt. Aber auch nichts, das man vergessen darf.
Wer nicht sicher ist, welche Tools in der Kanzlei bereits Mandantendaten verarbeiten und ob AVV plus §203 sauber stehen: Genau dafür gibt's die unabhängige KI-Potenzialanalyse für Steuerkanzleien. Eine Bestandsaufnahme, die klärt, wo Sie stehen, bevor jemand fragt. Und wer sich erst orientieren will, findet in den weiteren Ratgeber-Artikeln mehr nach Branche.